Estudio Sobre El Estado de La PYME Española Ante Los Riesgos y La Implantación de Planes de Continuidad de Negocio - INTECO

Estudio sobre el estado de la
PYME española ante los riesgos y

la implantación de Planes de
Continuidad de Negocio
Con el patrocinio de:
OBSERVATORIO DEy laLA

La PYME española ante los riesgos SEGURIDAD
implantación
Observatorio de la Seguridad de la Información
DE deLA
de Planes de Continuidad INFORMACIÓN
Negocio Página 1 de 121
Edición: Noviembre 2010
El “Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de
Continuidad de Negocio” ha sido elaborado por el siguiente equipo de trabajo del Observatorio de
la Seguridad de la Información de INTECO:
Pablo Pérez San-José (dirección)
Javier Rey Perille (coordinación)
Laura García Pérez
Cristina Gutiérrez Borge
INTECO quiere mencionar la participación en la realización del trabajo de campo e investigación

de este estudio y agradecer el patrocinio de su edición impresa de:
La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una
licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y
comunicar públicamente esta obra bajo las condiciones siguientes:
• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su
procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho
reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace
de su obra.
• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos
mientras su uso no tenga fines comerciales.
Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas
condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta
licencia menoscaba o restringe los derechos morales de INTECO. http://creativecommons.org/licenses/by-nc/2.5/es/
El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se
trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y
orden de lectura adecuado.
Para ampliar
La PYME información
española sobre
ante los la construcción
riesgos de documentos
y la implantación PDF
de Planes de accesiblesdepuede
Continuidad consultar la guía disponible
Negocio en121
Página 2 de la
sección Accesibilidad
Observatorio > Formación
de la Seguridad de >laManuales y Guías de la página http://www.inteco.es
Información
ÍNDICE
PUNTOS CLAVE .................................................................................................................6
I Análisis de los niveles de seguridad en la PYME española ....................................6
II Cultura y conocimiento de la PYME española en materia de continuidad de

negocio.............................................................................................................................7
III Análisis de los niveles de adopción de medidas o planes de continuidad de

negocio en la PYME española .........................................................................................8
IV Análisis comparativo de la gestión de la continuidad de negocio en la empresa

española según su tamaño ..............................................................................................9
V Mejores prácticas de continuidad de negocio........................................................10
1 INTRODUCCIÓN Y OBJETIVOS ...............................................................................11
1.1 Presentación ......................................................................................................11
1.1.1 Instituto Nacional de Tecnologías de la Comunicación .................................11
1.1.2 Observatorio de la Seguridad de la Información............................................12
1.2 Estudio sobre el nivel de preparación de las PYME ante los riesgos y adopción
de Planes de Continuidad de Negocio...........................................................................13
1.2.1 Objetivo general .............................................................................................14
1.2.2 Objetivos específicos .....................................................................................14
2 DISEÑO METODOLÓGICO .......................................................................................17
2.1 Caracterización del universo objeto del estudio ................................................18
2.2 Fases del proyecto de investigación..................................................................21
2.2.1 Fase 1: Recopilación y estudio de informes ..................................................21
2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de

negocio .......................................................................................................................23
2.2.3 Fase 3: Elaboración del informe de conclusiones finales del proyecto..........26
La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 3 de 121
2.2.4 Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y
consejos acerca del diseño y puesta en marcha de un plan de continuidad de
negocio .......................................................................................................................28
3 ANÁLISIS DEL NIVEL DE SEGURIDAD DE LA PYME ESPAÑOLA DESDE EL

PUNTO DE VISTA DE LA CONTINUIDAD DE NEGOCIO ...............................................29
3.1 Percepción de las incidencias de seguridad por parte de las empresas ...........31
3.2 Tipología de impactos generados por los incidentes de seguridad ...................34
3.3 Respuesta a los incidentes de seguridad por parte de las empresas................39
3.4 Madurez de los procesos de gestión de riesgos que impactan en la continuidad

del negocio.....................................................................................................................42
3.5 Requerimiento de continuidad en los servicios facilitados por terceros o forma

de gestionar la interdependencia ...................................................................................48
4 CULTURA Y CONOCIMIENTO DE LA PYME ESPAÑOLA EN MATERIA DE

CONTINUIDAD DE NEGOCIO..........................................................................................51
5 ANÁLISIS DE LOS NIVELES DE ADOPCIÓN DE MEDIDAS O PLANES DE

CONTINUIDAD DE NEGOCIO EN LA PYME ESPAÑOLA...............................................57
5.1 Empresas que han definido o tienen previsto definir algún tipo de estrategia,
plan o procedimiento que les permita recuperar su actividad ante un desastre ............58
5.2 La importancia de disponer de medidas y la complejidad de gestionar los gastos

necesarios en materia de continuidad de negocio.........................................................66
5.3 Necesidad de asesoramiento externo para la adopción de la estrategia de

continuidad de negocio ..................................................................................................71
6 ANÁLISIS COMPARATIVO DE LA SITUACIÓN DE LA CONTINUIDAD EN LA

EMPRESA ESPAÑOLA SEGÚN SU TAMAÑO.................................................................75
7 MEJORES PRÁCTICAS DE CONTINUIDAD DE NEGOCIO.....................................84
7.1 Motivos que estimulan a la aplicación de buenas prácticas ..............................84
7.2 Buenas prácticas a adoptar ...............................................................................85
7.2.1 Desde un punto de vista estratégico..............................................................85
7.2.2 Desde un punto de vista táctico .....................................................................86
7.2.3 Desde un punto de vista técnico/operativo ....................................................89
7.3 Beneficios asociados a la adopción de buenas prácticas..................................95
8 CONCLUSIONES.......................................................................................................97
8.1 Análisis DAFO..................................................................................................101
8.1.1 Debilidades ..................................................................................................101
8.1.2 Amenazas ....................................................................................................102
8.1.3 Fortalezas ....................................................................................................103
8.1.4 Oportunidades..............................................................................................104
9 RECOMENDACIONES ............................................................................................106
9.1 Recomendaciones dirigidas a las pequeñas y microempresas .......................106
9.2 Recomendaciones dirigidas a la industria .......................................................111
9.3 Recomendaciones dirigidas a las Administraciones Públicas .........................112
ÍNDICE DE GRÁFICOS...................................................................................................116
ÍNDICE DE TABLAS........................................................................................................120
PUNTOS CLAVE
INTECO, en su afán por desarrollar la Sociedad del Conocimiento a través de proyectos

en el marco de la innovación y la tecnología, publica el Estudio sobre el nivel de
preparación de las PYME ante los riesgos y adopción de Planes de Continuidad de
Negocio.
Este estudio pone de manifiesto un concepto, el de Continuidad de Negocio, que la

evolución de los negocios y los acontecimientos nacionales e internacionales hacen que
paulatinamente esté más presente en la gestión estratégica de las organizaciones, hasta
el punto de convertirse en una necesidad o, al menos, un aspecto a considerar.
Si bien existen múltiples definiciones acerca de la Gestión de la Continuidad de Negocio,

todas ellas deben referirse a un proceso orientado a identificar posibles riesgos que
amenazan a una organización y desarrollar de forma preventiva una capacidad de
recuperación ante situaciones que supongan interrupciones totales o parciales de sus
operaciones de negocio.
La metodología utilizada para la realización del estudio y la consecuente publicación del

presente informe se ha basado en la realización de encuestas presenciales, telefónicas y
a distancia sobre los siguientes colectivos: empresas españolas con menos de 50
empleados y con al menos un ordenador conectado a Internet, así como proveedores o
expertos en la entrega de servicios orientados a garantizar la continuidad de las
operaciones de negocio. Esta dualidad de colectivos participantes en el estudio permite,
junto al análisis de otros informes y reportes de entidades tanto públicas como privadas,
conocer los niveles de preparación que tienen las empresas españolas para afrontar una
situación de crisis o desastre que pueda provocar una interrupción de sus actividades de
negocio.
Se muestra a continuación algunos puntos clave obtenidos tras el estudio:
I Análisis de los niveles de seguridad en la PYME española
Tal y como se indica en el informe 1 publicado por INTECO bajo el título “Estudio sobre la
seguridad y la e-confianza de las pequeñas y microempresas españolas”, el 34,3% de las
PYME españolas muestran interés en seguir planes o estrategias de seguridad de la
información. E incluso puede parecer a primera vista que existe un nivel de protección
adecuado. Sin embargo, y tomando en perspectiva los resultados del presente estudio,
las PYME reconocen no conocer los posibles riesgos que inherentes o no a su actividad
1
INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeñas y microempresas españolas. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempre
sas
cotidiana pueden llegar a sufrir optando en dichos casos por soluciones que cubren solo
parte de la problemática.
En esta situación se encuentra o pueden encontrar según los datos obtenidos en la fase
de trabajo de campo, un 35,2% de las PYME que afirman haber sufrido algún incidente
de seguridad en los últimos 3 meses.
Por otro lado, el estudio muestra que aún adoptando el 71,2% de las empresas procesos
de gestión de riesgos (bien sea esporádica o periódicamente), no son realmente
conscientes del alcance completo de la gestión de la continuidad, hecho que deriva en
que el enfoque de las medidas que implementan sea limitado y no siempre el correcto.
Según reconocen las propias PYME, la mayor parte de sus inversiones son destinadas a
disponer de cortafuegos, antivirus, antispam y copias de seguridad; medidas que sólo
mitigan una pequeña parte de los riesgos, dejando de lado otros aspectos como pueden
ser, por ejemplo, la seguridad física o la continuidad de servicios prestados por
proveedores.
Otros factores observados en el estudio y que denotan de nuevo el cierto nivel de

inmadurez en materia de continuidad de las organizaciones son:
• Bajo nivel de implementación de medidas relacionadas con la adopción de procesos

de gestión de riesgos tras un incidente (el 35,4% de las entidades han adoptado este
tipo de procesos).
• Ausencia de requerimientos de continuidad de negocio exigidos a proveedores que

proporcionan servicios críticos para su negocio (el 18,7% de las entidades exigen a
sus proveedores este tipo de medidas).
• Desconocimiento sobre las pérdidas económicas derivadas de los incidentes de

seguridad sufridos.
• Carencia de criterios uniformes para la valoración correcta del impacto y la

probabilidad de ocurrencia de cada una de las amenazas que pueden afectar a la
continuidad del negocio.
II Cultura y conocimiento de la PYME española en materia de continuidad de

negocio
A la hora de valorar los resultados obtenidos en cuanto al nivel de conocimiento de

cultura de continuidad de negocio, se hace patente, en mayor medida, las dificultades
afrontadas por las organizaciones para discernir claramente conceptos clave en esta
materia:
• Pese a que un 33% de las PYME afirma estar familiarizada con los conceptos de
continuidad de negocio, de ellas el 21,7% conoce realmente la diferencia entre los
términos de Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres.
• El mayor grado de conocimiento lo muestran empresas pertenecientes a los sectores

de actividades profesionales, científicas y técnicas (31,8%) y las dedicadas a la
actividad tecnológica (18,2%) mientras que los sectores de educación, actividades
sanitarias o servicios sociales son los que muestra mayores carencias en este
sentido.
• No se aprecian apenas diferencias cuantitativas entre los niveles de conocimiento de

las PYME, cuando el análisis se segrega por tamaño de las entidades.
III Análisis de los niveles de adopción de medidas o planes de continuidad de

negocio en la PYME española
El estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas

empresas, publicado por INTECO en el año 2008, concluyó “la existencia de atraso
tecnológico en las pequeñas y medianas empresas españolas con respecto a las de
mayor tamaño, así como en relación a las empresas del mismo tamaño en los principales
países europeos y en EE.UU.”. Dicha afirmación es una realidad más patente aún en el
ámbito de la adopción de medidas preventivas y planes destinados a garantizar la
continuidad de las actividades de negocio en situaciones de contingencia. Así, varios
informes 2 de ámbito nacional e internacional establecen de media que 8 de cada 10
empresas grandes encuestadas han adoptado un plan de continuidad de negocio. Incluso
es importante destacar que la probabilidad de dedicar mayores recursos (tecnológicos,
presupuestarios y humanos) es mayor cuanto más grande es el tamaño de la
organización.
En el presente estudio, se concluye que el 38,4 % de las PYME afirma contar con algún
tipo de estrategia enfocada a garantizar la continuidad de su negocio en caso de una
incidencia o desastre. Dentro de este colectivo, se incluyen tanto aquellas entidades que
han definido estrategias para la continuidad de sus operaciones (16,7%) como aquellas
que cuentan con procedimientos que garanticen exclusivamente su recuperación a nivel
tecnológico (21,7%).
Estos datos que diferencian la situación entre pequeña y gran empresa en aspectos de
continuidad de negocio difieren con la percepción de los encuestados, ya que el 85,3%
de los mismos afirma que el hecho de garantizar la continuidad de las operaciones es
2
Business Continuity Institute (2005): Business Continuity Research. Disponible en:
http://www.thebci.org/BCIResearchReport.pdf
AT&T (2008): Business Continuity Study Results Disponible en:
http://www.att.com/Common/merger/files/pdf/business_continuity_08/Business_Continuity_Study_Results.pdf
igual de crítico tanto en pequeñas como en grandes empresas, por lo que, con
independencia del tamaño, toda organización debe adoptar tales estrategias.
Los motivos por los cuales, pese a la afirmación anterior, las empresas carecen de un
plan formal, son variados y vienen derivados, en gran medida, por dificultades o barreras
a la hora de afrontar el desarrollo e implantación de la estrategia. La reducida
probabilidad con la que contemplan la ocurrencia de crisis o desastres o la falta de
tiempo, recursos y/o presupuesto son algunas de las barreras denunciadas por las PYME
en este sentido. Del mismo modo, el desconocimiento y la falta de experiencia en la
materia provocan que un gran porcentaje de las entidades que adoptan medidas de
continuidad decidan acudir al soporte y apoyo externo en alguna de las fases de
desarrollo del plan (42,4%).
Por otro lado, igual de importante es conocer los estímulos que han potenciado una
implicación de las organizaciones en materia de continuidad. Aunque garantizar la
disponibilidad de las operaciones de negocio figura como uno de los principales objetivos
perseguidos con el desarrollo de planes de continuidad, paulatinamente se aprecia un
mayor peso de argumentos estratégicos como “Mejorar la reputación e imagen pública de
la empresa” o “Adquirir ventajas competitivas”.
Para conseguir tales fines, es fundamental que las PYME afronten ciertas fases del
desarrollo del plan con la actitud correcta. Establecer el alcance de la estrategia desde un
principio, asignar los recursos necesarios que permitan su puesta en marcha o evaluar
periódicamente la eficacia y rendimiento del plan son acciones críticas, cuya mala o
buena planificación repercutirá en el éxito/fracaso del plan definido.
Con relación a esto último, es importante transmitir que la gestión de continuidad no es

un proceso que pueda ser abordado en un momento puntual y cerrado en el tiempo
mediante el desarrollo de un plan, sino que requiere de un cierto mantenimiento. En base
a los datos recogidos, se desprende cuál es la estrategia actual de las PYME y la prevista
para un futuro inmediato: Las inversiones en la gestión de la continuidad tienden a
mantenerse en el 49,6% de los casos, siendo destinadas fundamentalmente a la
contratación de seguros de cobertura, contratación de servicios externos o acuerdos con
terceros. Derivado de lo comentado, de cara a los próximos meses, el 87% de las
entidades declara no tener previsto abordar estrategia de continuidad alguna.
IV Análisis comparativo de la gestión de la continuidad de negocio en la

empresa española según su tamaño
Frente a la situación de la PYME, las grandes empresas españolas disponen de más

medios, recursos y sobre todo mayor nivel de concienciación para terminar imponiéndose
la idea de que adoptar planes de continuidad de negocio es crítico para una organización.
De hecho, el 81,1% de las grandes empresas han adoptado planes de continuidad de
negocio (frente al 38,4% de las PYME que han desarrollado alguna iniciativa en este
sentido). Además, la mayoría de las grandes empresas disponen de más personal para
llevar a cabo este tipo de gestión. Personal que, en la mayoría de las ocasiones, dedica
la totalidad de su jornada laboral.
La situación de la PYME es drásticamente distinta, ya que debe centrarse en la

producción del día a día y, simplemente la tarea de mantener “a flote” su actividad de
negocio y sobrevivir en el mundo empresarial, se convierte en su principal objetivo. Esta
prioridad en los objetivos provoca que otros aspectos importantes como la gestión de la
continuidad queden en el olvido o, al menos, en un segundo plano.
V Mejores prácticas de continuidad de negocio
Una parte del presente estudio se ha querido enfocar hacia aquellas PYME que
actualmente cuentan con algún tipo de estrategia o plan de continuidad exitosamente
definido. A las 29 organizaciones elegidas como base muestral en este apartado, se les
ha consultado sobre los factores clave o buenas prácticas que han debido desarrollar
para lograr la implantación eficaz de sus medidas y, adicionalmente, los beneficios
asociados a su implantación.
En la línea de lo estipulado en los principales estándares en la materia, las PYME

coinciden en que las siguientes son buenas prácticas de actuación que facilitarán el
desarrollo de las medidas de continuidad tanto desde un punto de vista estratégico, como
táctico u operativo:
• Contar con el apoyo y compromiso de la dirección.
• Analizar a priori los riesgos a los que está sometida la entidad.
• Definir los sistemas y aplicaciones críticos dentro del alcance.
• Recurrir a asesoramiento externo.
• Adquirir el Software y Hardware adecuados.
• Evaluar periódicamente la eficacia y el rendimiento de las medidas implementadas.
Según declaraciones de las propias organizaciones, la adopción de las buenas prácticas

comentadas facilita implantar eficazmente una política de continuidad y,
consecuentemente, obtener beneficios tales como reducir los tiempos de respuesta ante
situaciones de crisis o controlar los posibles impactos financieros y operativos.
1 INTRODUCCIÓN Y OBJETIVOS
1.1 Presentación
1.1.1 Instituto Nacional de Tecnologías de la Comunicación

El Instituto Nacional de Tecnologías de la Comunicación, S.A. (INTECO), es una
sociedad estatal adscrita al Ministerio de Industria, Turismo y Comercio a través de la
Secretaría de Estado de Telecomunicaciones y para la Sociedad de la Información.
INTECO tiene la vocación de ser un centro de desarrollo de carácter innovador y de

interés público a nivel nacional que constituye una iniciativa enriquecedora y difusora de
las nuevas tecnologías en España en clara sintonía con Europa.
Su objetivo fundamental es servir como instrumento para desarrollar la Sociedad de la

Información, con actividades propias en el ámbito de la innovación y el desarrollo de
proyectos asociados a las Tecnologías de la Información y la Comunicación (TIC),
basándose en tres pilares fundamentales: la investigación aplicada, la prestación de
servicios y la formación.
La misión de INTECO es aportar valor e innovación a los ciudadanos, a las PYME, a las
Administraciones Públicas y al sector de las tecnologías de la información, a través del
desarrollo de proyectos que contribuyan a reforzar la confianza en los servicios de la
Sociedad de la Información en nuestro país, promoviendo además una línea de
participación internacional.
Para ello, INTECO desarrolla actuaciones en las siguientes líneas:
• Seguridad Tecnológica: INTECO está comprometido con la promoción de servicios

de la Sociedad de la Información cada vez más seguros, que protejan los datos
personales de los interesados, su intimidad, la integridad de su información y eviten
ataques que pongan en riesgo los servicios prestados. Y por supuesto que garanticen
un cumplimiento estricto de la normativa legal en materia de TIC. Para ello coordina
distintas iniciativas públicas en torno a la seguridad de las TIC, que se materializan en
la prestación de servicios por parte del Observatorio de la Seguridad de la
Información, el Centro Demostrador de Tecnologías de Seguridad, el Centro de
Respuesta a Incidentes de Seguridad en Tecnologías de la Información (INTECO-
CERT) y la Oficina de Seguridad del Internauta (OSI), de los que se benefician
ciudadanos, PYME, Administraciones Públicas y el sector tecnológico.
• Accesibilidad: INTECO promueve servicios de la Sociedad de la Información más

accesibles, que supriman las barreras de exclusión, cualquiera que sea la dificultad o
carencia técnica, formativa, etc., incluso discapacidad, que tengan sus usuarios. Y
que faciliten la integración progresiva de todos los colectivos de usuarios, de modo
que todos ellos puedan beneficiarse de las oportunidades que ofrece la Sociedad de
la Información. Asimismo desarrolla proyectos en el ámbito de la accesibilidad
orientados a garantizar el derecho de ciudadanos y empresas a relacionarse
electrónicamente con las AA.PP.
• Calidad TIC: INTECO promueve unos servicios de la Sociedad de la Información que

cada vez sean de mayor calidad, que garanticen unos adecuados niveles de servicio,
lo cual se traduce en una mayor robustez de aplicaciones y sistemas, un compromiso
en la disponibilidad y los tiempos de respuesta, un adecuado soporte para los
usuarios, una información precisa y clara sobre la evolución de las funcionalidades de
los servicios, y en resumen, servicios cada vez mejores. En esta línea impulsa la
competitividad de la industria del Software a través de la promoción de la mejora de la
calidad y la certificación de las empresas y profesionales de la ingeniería del software.
• Formación: la formación es un factor determinante para la atracción de talento y para

la mejora de la competitividad de las empresas. Por ello, INTECO impulsa la
formación de universitarios y profesionales en las tecnologías más demandadas por la
industria.
1.1.2 Observatorio de la Seguridad de la Información

El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica
de actuación de INTECO en materia de Seguridad Tecnológica.
El Observatorio nace con el objetivo de describir de manera detallada y sistemática el

nivel de seguridad y confianza en la Sociedad de la Información y de generar
conocimiento especializado en la materia. De este modo, se encuentra al servicio de los
ciudadanos, las empresas y las administraciones públicas españolas para describir,
analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza.
El Observatorio ha diseñado un Plan de Actividades y Estudios con el objeto de producir

conocimiento especializado y útil en materia de seguridad por parte de INTECO, así
como de elaborar recomendaciones y propuestas que definan tendencias válidas para la
toma de decisiones futuras por parte de los poderes públicos.
Dentro de este plan de acción se realizan labores de investigación, análisis, estudio,

asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias:
• Elaboración de estudios e informes propios en materia de seguridad de las

Tecnologías de la Información y la Comunicación, con especial énfasis en la
Seguridad en Internet.
• Seguimiento de los principales indicadores y políticas públicas relacionadas con la

seguridad de la información y la confianza en el ámbito nacional e internacional.
• Generación de una base de datos que permita el análisis y evaluación de la seguridad
y la confianza con una perspectiva temporal.
• Impulso de proyectos de investigación en materia de seguridad TIC.
• Difusión de estudios e informes publicados por otras entidades y organismos

nacionales e internacionales, así como de información sobre la actualidad nacional y
europea en materia de la seguridad y confianza en la Sociedad de la Información.
• Asesoramiento a las Administraciones Públicas en materia de seguridad de la

información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación
de políticas públicas en este ámbito.
1.2 Estudio sobre el nivel de preparación de las PYME ante los riesgos y
adopción de Planes de Continuidad de Negocio
Existen determinados aspectos que condicionan la realidad empresarial en España. Los

más importantes bajo la óptica del presente estudio son la estructura y tipología de las
empresas respecto al número de trabajadores, el incremento en el uso de tecnologías y
la existencia de amenazas que no discrimina entre grandes compañías o pequeñas y
medianas empresas.
En relación con el primero de ellos, la estructura, se demuestra en el hecho de que cada

vez más el motor principal de la economía española y de la generación de empleo se
centre en la PYME. A fecha de enero de 2009 y según datos del DIRCE el tejido
empresarial español está constituido en más de un 99% por pequeñas empresas.
Respecto al uso de las tecnologías, su empleo se ha posicionado como elemento

dinamizador del crecimiento económico basado en el aumento de la competitividad y la
productividad, con numerosas iniciativas procedentes del sector público enfocadas a
facilitar el acceso a las TIC por parte de los actores principales de la Sociedad de la
Información.
En último extremo, las amenazas o contingencias pueden afectar a todo tipo de

empresas, con independencia de su tamaño o condición. La variabilidad de las mismas
hace que su origen pueda estar motivado por los riesgos devenidos de su actividad, por
catástrofes (por ejemplo, atentados terroristas, tornados, terremotos, inundaciones, etc.),
o incluso por situaciones más cotidianas que tengan su origen en los componentes de
instalación (cortes de suministro eléctrico), en los equipos informáticos (malware,
problemas con el hardware o el software) o en los que tienen un componente humano
(sabotajes intencionados, phishing, empleados y colaboradores descontentos,
distracciones y/o errores).
Todos estos condicionantes suponen que en la actualidad las empresas y por ende las
PYME se enfrenten a múltiples desafíos que pueden llegar a suponer un reto en materia
de gestión de la seguridad de la información y en las operaciones o actividades que
llevan a cabo de forma continuada y sin aparentes interrupciones. Uno de ellos consiste
en diseñar y/o elaborar planes asociados a las tecnologías y a los procesos necesarios
para recuperar, a la mayor brevedad posible, las operaciones críticas para garantizar la
continuidad del negocio en el caso de que se produzca un desastre.
Son múltiples los motivos que conducen a las empresas a considerar la gestión de los
citados planes: requerimientos regulatorios o de los propios socios y/o clientes,
estrategias para aumentar la competitividad y la rentabilidad, la dependencia de las
actividades de negocio en las TIC, etc.
El presente estudio surge derivado de la necesidad de conocer el nivel de preparación

actual de la PYME española para afrontar situaciones o incidencias de seguridad que
impacten en la disponibilidad de sus actividades de negocio.
1.2.1 Objetivo general

El objetivo general de este estudio es el análisis, basado en las percepciones de los
empresarios, de los niveles de preparación, los patrones de comportamiento, las
necesidades reales y las principales barreras que dificultan la adopción de medidas,
planes o estrategias que permiten a la PYME española estar mejor preparada para
garantizar la continuidad de sus operaciones de negocio.
Todo ello, con el fin de proponer recomendaciones de actuación a las entidades, a la

industria de seguridad de la información y a las Administraciones Públicas para impulsar
el conocimiento y el seguimiento de los principales indicadores y políticas públicas
relacionadas con la Sociedad de la Información en materia de seguridad de la
información.
1.2.2 Objetivos específicos

El anterior objetivo se desglosa operativamente en los siguientes objetivos específicos
que permiten, además, orientar la estructura temática del presente informe.
Análisis de la situación tecnológica de seguridad de la PYME española desde el

punto de vista de la continuidad de negocio
• Identificar la inversión que las empresas españolas están llevando a cabo en

seguridad de la información.
• Conocer la tendencia y el tipo de incidentes de seguridad que han provocado

paralizaciones totales o parciales de las actividades, así como las respuestas
planteadas ante dichos incidentes que sean constitutivas de llegar a ser implantadas
a modo de respuesta.
• Comprobar si las PYME llevan a cabo la evaluación, cualitativa o cuantitativa, de los

impactos derivados de los incidentes de seguridad que hayan padecido hasta la
fecha.
• Analizar la oferta disponible y el estado de implantación de los productos de

seguridad existentes en las empresas en materia de continuidad de negocio, y
contrastar los resultados con el nivel de instalación de los mismos en el ámbito
internacional.
• Establecer qué acciones son abordadas por las pequeñas y microempresas

españolas para conocer y hacer frente a los riesgos que pueden llegar a paralizar sus
procesos de negocio.
• Determinar el tiempo máximo de interrupción que las actividades de las empresas,

con las características de este estudio, pueden estar paralizadas sin que por ello se
produzcan pérdidas graves sobre sus finanzas, operaciones o sobre su imagen.
• Corroborar si las organizaciones españolas establecen requerimientos de continuidad

de negocio sobre aquellos proveedores de servicios que de alguna manera
intervienen en sus actividades de negocio.
Cultura y conocimiento de la PYME española en materia de continuidad de negocio
• Valorar someramente los niveles de conocimiento y formación que las pequeñas y

microempresas españolas poseen en relación con los planes de continuidad de
negocio y con los planes de recuperación ante desastres.
• Analizar el grado de concienciación sobre las ventajas derivadas de la implantación

de medidas reactivas y/o preventivas para mitigar los efectos de posibles
contingencias.
Análisis de los niveles de adopción de medidas o planes de continuidad de negocio

en la PYME española
• Analizar e identificar los niveles de implantación de medidas de continuidad de

negocio en las empresas españolas y si ese comportamiento es diferente en función
de su tamaño.
• Comparar los citados niveles con los reportados a nivel internacional, mediante la
consulta y el análisis de las principales conclusiones expuestas en diferentes informes
publicados.
• Para aquellas organizaciones que sí se han iniciado en la gestión de la continuidad de
sus operaciones, conocer los principales obstáculos afrontados, las razones que han
motivado tal implantación, los beneficios que les ha supuesto, los recursos empleados
e incluso si han tenido la necesidad de recurrir a algún tipo de asesoramiento externo.
• Evaluar cualitativamente las tendencias de las empresas en relación con los gastos
destinados a la continuidad de sus operaciones.
• Conocer las principales razones por las que las PYME no tiene previsto invertir en
ninguna medida destinada a facilitar la recuperación en el menor tiempo posible de
las actividades interrumpidas motivadas por el hecho de haber sufrido una
contingencia grave.
• Contrastar con las organizaciones las medidas impulsoras más adecuadas para
difundir la importancia de estar preparados ante cualquier tipo de amenaza.
Análisis comparativo de la situación de la continuidad en la empresa española

según su tamaño
• Comparar los resultados obtenidos y la información elaborada a partir del estudio

realizado en la PYME con las prácticas de continuidad de negocio en las grandes
empresas españolas.
• Identificar y valorar las principales métricas de gestión de continuidad de negocio con

el fin de realizar un análisis comparativo de las mismas entre la PYME y la gran
empresa.
Mejores prácticas de continuidad de negocio
• Conocer las buenas prácticas en materia de continuidad de negocio llevadas a cabo

por aquellas entidades que han implementado algún tipo de estrategia o
procedimiento que garantice la continuidad de su negocio, independientemente de su
tamaño y del sector de actividad al que pertenecen.
• Analizar con carácter general y desde un punto de vista estratégico, táctico y

técnico/operativo los factores clave que han facilitado a las entidades la implantación
de estas medidas.
• Identificar los principales obstáculos y beneficios que ha supuesto la implantación de

las medidas de continuidad para el colectivo de 29 PYME consideradas como casos
de implantación exitosa.
2 DISEÑO METODOLÓGICO
En la definición de la metodología del estudio, se ha considerado una fórmula que

permite obtener información relativa sobre el grado de percepción, concienciación e
implementación efectiva de medidas que faciliten la continuidad de las operaciones en
caso de contingencia en las PYME españolas, desde una triple perspectiva:
• Caracterización de las empresas desde el punto de vista de la continuidad de

negocio. 400 pequeñas y microempresas de todos los sectores de actividad
conforme al CNAE-2009 han respondido a la encuesta, de acuerdo con los criterios
del muestreo aleatorio estratificado en las que p=q=0,5 y para un nivel de confianza
del 95,5%, el error muestral para n=400 es de ±4,99%.
En ocasiones, la base muestral a partir de la cual se desarrollan los diferentes

gráficos expuestos a lo largo del informe del estudio es superior o inferior a 400. Esto
es debido a que, por un lado, con el objetivo de aumentar dicha base para que los
resultados sean más representativos y objetivos, se incorporaron los resultados del
colectivo que se explica a continuación (PYME con experiencias exitosas) en
aquellas cuestiones y materias que coinciden con las planteadas a la muestra básica
de 400 pequeñas y microempresas. Por otro lado, el uso de bases muestrales
inferiores a 400 se debe al planteamiento de preguntas “filtro” en las que se eliminan
aquellas PYME que no les afectan determinadas cuestiones. De todos modos, para
mayor aclaración, en la base de cada gráfico se detalla la base muestral empleada.
• Identificación de las PYME con experiencias exitosas mediante la aplicación de

buenas prácticas en el área de continuidad de negocio. En total 29
organizaciones pueden constituirse como casos de éxito representativos de diferentes
realidades en cuanto a la adopción o no de planes de continuidad de negocio en lo
referente a análisis de riesgos, planes de recuperación a nivel tecnológico,
implantación de medidas de seguridad preventivas, etc.
• Percepción por parte de los proveedores de servicios o soluciones de

continuidad de negocio. En relación con el conocimiento que estos agentes tienen
de la oferta y demanda de servicios de continuidad (para las PYME y por parte de las
mismas), los riesgos y amenazas a las que se enfrentan y que pueden en último
extremo provocar la interrupción de sus procesos y finalmente el nivel de preparación
para afrontar situaciones de crisis o desastre.
La interacción con estos colectivos, unido al proceso previo de estudio de diferentes

publicaciones e informes relacionados con la continuidad de negocio (a nivel nacional e
internacional), permite no sólo contrastar la situación de la muestra objeto del estudio (la
propia empresa española), sino también el poder identificar posibles recomendaciones
dirigidas tanto a las empresas (en relación a los servicios que demanda y necesita), como
a los proveedores y a las Administraciones Públicas.
2.1 Caracterización del universo objeto del estudio
El universo objeto del estudio está constituido por toda empresa española, con al menos
un ordenador conectado a Internet, estratificada en base al número de empleados y al
sector de actividad. Respecto al primero de ellos, se contemplan las organizaciones de
hasta 50 empleados, diferenciando entre las microempresas (menos de 10 empleados y
sin asalariados) y las pequeñas empresas (10-49 asalariados). Dado el escaso peso
numérico que tienen las empresas de más de 50 empleados dentro del tejido empresarial
se han excluido del presente estudio.
Para la delimitación del sector de actividad se ha contemplado la clasificación nacional de

actividades empresarial (CNAE) en su versión de 2009 y el número de empresas que con
las características de este estudio existen en España según el Instituto Nacional de
Estadística (INE) en 2009 3 .
La importancia de centrar el análisis sobre ambos valores, es decir el tamaño y el

componente sectorial, se justifica además por el uso que este tipo de empresas hacen de
las TIC.
Las diversas fuentes consultadas confirman que existen altos grados de penetración de
las tecnologías de la información en las empresas. Así por ejemplo, en el informe
elaborado conjuntamente por AETIC (Asociación de Empresas de Electrónica,
Tecnologías de la Información y Telecomunicaciones de España), Red.es y Everis
titulado Las tecnologías de la Información y las Comunicaciones en la empresa española
2009 4 , muestra que, en ese año, el porcentaje de empresas que disponían de ordenador
se situaba en el 90,6%.
En el presente estudio la presencia del ordenador en las empresas participantes se sitúa

en el 90,3% en el caso de los de sobremesa y en el 65,0% en los portátiles. Ambas cifras
evidencian altos grados de penetración de los equipos, si bien como señala el informe
citado en el párrafo anterior, se detecta un estancamiento en la penetración debido al alto
nivel alcanzado en el uso del ordenador en los últimos años.
Otro síntoma del nivel de penetración es la interconexión de los equipos dentro de la

misma oficina (ver Gráfico 1). El 62,9% de las pequeñas y microempresas participantes
3
Actualmente según datos del Instituto Nacional de Estadística publicados el 10 de agosto de 2009 que se recogen en el
Directorio Central de Empresas (DIRCE) el número de empresas es 3.327.708
4
AETIC, Red.es y Everis (2009): Las tecnologías de la Información y las Comunicaciones en la empresa española. En el
estudio participaron 4.922 sociedades inscritas en el Registro Mercantil, con al menos un empleado. Disponible en:
http://www.aetic.es/CLI_AETIC/ftpportalweb/documentos/Las%20Tecnolog%C3%ADas%20de%20la%20Informaci%C3%B
3n%20y%20las%20Comunicaciones%20en%20la%20empresa%20espa%C3%B1ola%202009.pdf
en el presente estudio tienen conectados sus ordenadores a través de una red de área
local o Local Area Network (LAN). Atendiendo a los sistemas de gestión informatizados,
las aplicaciones ofimáticas (procesadores de texto, hojas de cálculo, gestores de bases
de datos, etc.) siguen siendo las más utilizadas (74,1%) seguidas de otras aplicaciones
de negocio estándar o desarrolladas a medida (sistemas de gestión de relaciones con el
cliente, sistemas de planificación y gestión de recursos de la empresa, etc.), con una
penetración del 61,7%.
Gráfico 1 : Distribución del uso de tecnologías de la información y las comunicaciones
Ordenadores de sobremesa 90,3%
Redes externas (Internet) 86,5%

Aplicaciones ofimáticas (procesadores de texto,
74,1%
hojas de cálculo, etc.)
Telefonía móvil 72,0%
Ordenadores portátiles 65,0%

Redes de área local (correo electrónico corporativo,
62,9%
sistemas de compartición de archivos y datos)
Aplicaciones de negocio (financieras, RRHH,
61,7%
comerciales, etc.)
Redes inalámbricas (Wi-Fi) 53,7%
PDA/Blackberry 32,6%
0% 20% 40% 60% 80% 100%
Base: Total PYME (n=400) Fuente: INTECO
De forma más concluyente, del gráfico anterior se puede deducir que prácticamente la
totalidad de las PYME españolas usa Internet (86,5%) y ordenadores de sobremesa
(90,3%). Por tanto este estudio reafirma que independientemente del sector y del tamaño,
existe una gran dependencia de las TIC en la operativa diaria del negocio.
Derivado de este hecho y con el propósito de confirmar esa dependencia, se ha evaluado

el porcentaje de uso de cada una de las tecnologías en el seno de las entidades. Tal y
como se muestra en el Gráfico 2, la mayor parte del tiempo, las empresas hacen uso de
sus redes de área local o Wi-Fi, Internet y aplicaciones ofimáticas y de negocio, mientras
que la dependencia de dispositivos como PDA/Blackberry, teléfonos móviles y
ordenadores portátiles es más discontinuo.
Gráfico 2: Uso de las tecnologías de la información en las pequeñas y microempresas (%)
PDA/Blackberry 76,1% 7,7%

4,1%
12,1%
Ordenadores portátiles 38,9% 22,6% 28,0% 10,5%
Redes inalámbricas (Wi-Fi) 49,6% 7,2%11,0% 32,2%
Telefonía móvil 36,9% 25,1% 21,8% 16,2%

Redes de área local (correo electrónico corporativo,
sistemas de compartición de archivos y datos)
27,5% 16,9% 24,4% 31,2%
Aplicaciones de negocio (financieras, RRHH, comerciales,
23,7% 15,8% 32,0% 28,5%
etc.)
Aplicaciones ofimáticas (procesadores de texto, hojas de
21,2% 18,7% 33,4% 26,7%
cálculo, etc.)
Redes externas (Internet) 20,0% 15,3% 29,8% 34,9%
Ordenadores de sobremesa 16,6% 13,2% 40,2% 30,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Menos del 30% Entre el 30 y el 50% Entre el 50 y el 80% Más del 80%
Finalmente, existen al menos tres motivos que justifican que este estudio se haya
centrado en las PYME españolas:
• El tejido empresarial español está constituido en más de un 99% por pequeñas

empresas (según el DIRCE de 2009, las microempresas españolas constituyen el
94,8% y las pequeñas el 4,4%). Esto constituye el motor principal de la economía y de
la producción en España, lo cual hace que cualquier estudio enfocado a este público
objetivo sea fuente de interés general.
• Falta de concienciación de la PYME no sólo respecto a la continuidad de negocio,

sino también respecto a la Seguridad de la Información en términos generales. En un
estudio reciente efectuado con anterioridad por el Observatorio de la Seguridad de la
Información de INTECO, se evidenciaron ciertas carencias en cuanto a la adopción de
estrategias de seguridad y continuidad de negocio 5 .
• Desde un punto de vista operativo, económico e incluso de imagen, y teniendo en

cuenta la competitividad creciente y la necesidad de proporcionar servicios
ininterrumpidamente en el mundo empresarial, cada vez se hace más visible la
necesidad e importancia de que las organizaciones adopten planes de continuidad de
5
INTECO (2009): Estudio sobre la seguridad y la e-confianza de las pequeñas y microempresas españolas. Disponible en:
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Estudio_seguridad_microempre
sas
negocio. De hecho, un estudio 6 realizado por Acronis en colaboración con la empresa
de investigación Vanson Bourne revela que el 63% de las empresas tardan un día o
más en recuperarse de un período de inactividad del sistema.
2.2 Fases del proyecto de investigación
El desarrollo del estudio se ha abordado en 4 etapas:
• Fase 1: Recopilación y estudio de informes.
• Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de

negocio.
• Fase 3: Elaboración del informe de conclusiones finales del proyecto.
• Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y consejos
acerca del diseño y puesta en marcha de un plan de continuidad de negocio.
2.2.1 Fase 1: Recopilación y estudio de informes

Esta etapa ha abordado el análisis de la situación actual de la empresa española en
relación a la adopción de estrategias de continuidad de negocio, así como las tendencias
presentes y futuras en función de la industria, el sector o el tamaño de la organización.
Adicionalmente, la información obtenida sirve como referencia para compararla con los
niveles de sensibilidad, conocimiento y adopción de medidas de continuidad de negocio
en las PYME.
Para la consecución del citado objetivo se han inventariado las fuentes de información
que potencialmente disponen y publican estudios, informes y/o trabajos relacionados con
los riesgos e incidentes de seguridad que impactan (desde el punto de vista legal,
operativo, económico o en la propia imagen y reputación de la empresa) total o
parcialmente en las operaciones de negocio de las pequeñas y microempresas.
Finalmente, se han analizado y extraído las principales conclusiones de aquellos informes
que contienen información actual y útil para realizar el presente estudio.
Es importante destacar que, si bien el volumen de publicaciones en forma de buenas

prácticas para la gestión de la continuidad de negocio es elevado, no sucede lo mismo
cuando se acude a la identificación de informes y estudios cuantitativos y estadísticos
que puedan proporcionar un diagnóstico de la situación actual de la materia. De hecho, y
derivado de unos niveles de madurez y concienciación mayores, una gran parte de estas
publicaciones pertenecen a entidades públicas o privadas cuyo ámbito de estudio se sitúa
6
Acronis y Vanson Bourne (2010): Acronis® Digital Assets Research Findings: Unveiling Backup & RecoveryPractices
across Europe. Disponible en: http://www.acronis.co.uk/resource/tech-talk/whitepapers/
La muestra se compuso de 600 pyme y organizaciones del sector medio del mercado (250 y 1.000 empleados)
pertenecientes a distintos países europeos. Los encuestados eran empleados de las organizaciones responsables de
Tecnologías de la Información (TI).
en Norteamérica (Estados Unidos y Canadá) u otros países europeos más desarrollados
desde el punto de vista objeto del presente estudio (principalmente entidades de
certificación del Reino Unido).
Todos los informes consultados en el presente estudio son propiedad de las siguientes
entidades:
• Asociación Española de • International Organization for

Normalización y Certificación Standardization (ISO).
(AENOR).
• KPMG.
• Agility Recovery Solutions.
• Marsh.
• AT&T.
• National Institute of Standards and
• British Standards Institute (BSI). Technology (NIST).
• Business Continuity Institute (BCI). • Red.es
• CA Technologies. • Symantec.
• Centre for Research on the • Varolii Corporation.

Epidemiology of Disasters (CRED).
• World Economic Forum.
• Chartered Management Institute.
• Cloud Security Alliance (CSA).
• Deloitte.
• Ernst & Young.
• European Network and Information

Security Agency (ENISA).
• Forrester Research.
• Gartner.
• IBM.
• IDC.
• INTECO.
2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad
de negocio
Para poder profundizar en el estudio del grado de percepción, concienciación e
implementación efectiva de medidas que faciliten la continuidad de las operaciones en el
caso de producirse contingencias en las PYME españolas, ha resultado necesario
combinar técnicas de investigación tanto cuantitativas o cualitativas. De esta forma se
han establecido dos tipos distintos pero complementarios de investigación:
• Descriptiva, mediante la participación de:
o Un total de 400 pequeñas y microempresas seleccionadas a través de un

muestreo aleatorio estratificado (número de empleados y sector de actividad)
con afijación proporcional según el porcentaje de uso de Internet en función de
los datos del Instituto Nacional de Estadística (INE) 7 .
o Grandes empresas españolas participantes en el Barómetro de Empresas nº

36 elaborado por Deloitte y correspondiente al primer semestre de 2010. La
muestra de participantes está constituida por 253 empresas con sede en
España. El trabajo de campo correspondiente al Barómetro fue desarrollado
durante los meses de Junio y Julio de 2010.
• Exploratoria, mediante la participación de:
o Pequeñas y microempresas que en el desarrollo de su actividad cotidiana han

desarrollado o adoptado alguna iniciativa, acción o estrategia orientada a
garantizar la continuidad de sus actividades de negocio. Así en el estudio
tienen cabida 29 casos de éxito que han participado identificando los motivos
que les han impulsado a adoptar iniciativas de continuidad de negocio.
También las principales barreras que han tenido que superar y los beneficios
que les han supuesto implementar dichas decisiones.
o Empresas, proveedores u organismos especializados en orientar y dar soporte

a la empresa española en relación con productos y servicios de continuidad de
negocio.
Para la captación de la muestra se han empleado las siguientes técnicas:
7
Instituto Nacional de Estadística (2008): Encuesta de uso de TIC y Comercio electrónico (CE) en las empresas 2008 –
2009. Disponible en http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t09/e02/a2008-2009&file=pcaxis
• Selección de las unidades muestrales participantes, las PYME, de forma aleatoria
partiendo de diferentes bases de datos externas (SABI 8 ) e internas (relación de
empresas participantes en estudios semejantes), así como otro tipo de contactos
profesionales.
• Entrevista telefónica asistida por ordenador –sistema CATI– para la presentación del
estudio y la solicitud de colaboración y participación.
• Página web creada para la difusión y participación en el estudio.
• Contactos disponibles de INTECO de empresas participantes en el programa de

impulso a la implantación y certificación de Sistemas de Gestión de Seguridad de la
Información, SGSI (ISO 27001) en la PYME española.
• En cuanto al Barómetro de Empresas, cuestionarios autoaplicados enviados por

correo postal o electrónico a las 2.400 empresas españolas con mayor facturación
dentro de cada sector de actividad. La participación es voluntaria.
Muestra
El trabajo de campo para las pequeñas y microempresas se ha desarrollado entre febrero

y junio de 2010, atendiendo a criterios de representatividad nacional en función del sector
de actividad y el tamaño de la empresa.
De esta forma la muestra (n=400) se ha dividido en dos estratos (empresas de menos de

10 trabajadores y entre 10 y 49 trabajadores) y a su vez cada estrato se ha categorizado
por sector de actividad conforme a la clasificación CNAE del 2009. A su vez estos
sectores se han agrupado para garantizar una significatividad mínima de los mismos (ver
Tabla 1).
8
SABI: herramienta de Análisis de Balances Ibéricos del mercado propiedad de Informa D&B. Es una base de datos de
análisis financieros de empresas españolas y portuguesas.
Tabla 1: Distribución de la muestra del estudio en función de su actividad (CNAE-2009) y su
tamaño (número de empleados)
Menos de
10-49
Grupos de sectores de actividad Total 10
empleados
empleados
Industria Manufacturera + Industria Extractiva +
32 9 23
Suministros + Agricultura, Ganadería, Pesca
Construcción 49 11 38
Comercio + Hostelería + Reparaciones + Servicios
125 30 95
Personales
Transporte y Almacenamiento 31 8 23
Tecnología de la Información y Comunicación 32 8 24
Actividades Financieras y Seguros + Actividades
30 8 22
Inmobiliarias
Actividades Profesionales, Científicas y Técnicas 59 15 44
Educación, Actividades Sanitarias y de Servicios Sociales 29 7 22
Otros sectores 13 4 9
TOTAL 400 100 300
Fuente: INTECO
En cuanto al Barómetro de empresas, la muestra de empresas participantes en el estudio

(n=253) se encuentra categorizada en 9 grupos de sectores de actividad, cuya
distribución figura en la siguiente tabla:
Tabla 2: Distribución de la muestra del Barómetro de Empresas en función de su actividad

(%)
Grupos de sectores de actividad Total
Finanzas, Seguros y Bienes Raíces 28,1%

Fabricantes 25,0%
Transportes, Comunicaciones y Servicios Públicos 11,4%
Servicios 10,9%
Mayoristas 7,3%
Construcción y Contratas 5,9%
Detallistas 5,9%
Agricultura, Ganadería, Minería, Pesca 5,0%
Organismos oficiales 0,5%
TOTAL 100,0%
Base: Participantes Barómetro de Empresas (n=253) Fuente: INTECO
Atendiendo al número de empleados, el 31,4% de las empresas participantes en el

barómetro tienen entre 100 y 500 trabajadores, el 27,2% tiene entre 1.001 y 5.000, el
15,9% tiene entre 501 y 1.000 y el 12,3% tiene menos de 100 de trabajadores, mientras
que las que tienen más de 5.000 suponen un 13,2% de participación (Tabla 3).
Tabla 3: Distribución de la muestra del Barómetro de Empresas en función del número de
empleados (%)
Menos de Entre 100 y Entre 501 y Entre 1.001 Más de

Grupo de Actividad
100 500 1.000 y 5.000 5.000
Finanzas, Seguros y
11,3% 22,6% 16,1% 41,9% 8,1%
Bienes Raíces
Fabricantes 7,3% 45,4% 21,8% 18,2% 7,3%
Transportes,
Comunicaciones y 4,0% 32,0% 8,0% 24,0% 32,0%
Servicios Públicos
Servicios 16,7% 20,8% 4,2% 25,0% 33,3%
Mayoristas 31,3% 37,4% 18,8% 12,5% 0.0%
Construcción y Contratas 15,4% 38,4% 15,4% 7,7% 23,1%
Detallistas 15,4% 15,4% 23,1% 38,4% 7,7%
Agricultura, Ganadería,
9,1% 36,4% 18,1% 36,4% 0.0%
Minería, Pesca
TOTAL 12,3% 31,4% 15,9% 27,2% 13,2%
Base: Participantes Barómetro de Empresas (n=253) Fuente: INTECO
Error muestral
A continuación se presentan los niveles de error muestral por sector y número de

empleados para las empresas participantes en el estudio (ver Tabla 4). El cálculo del
error muestral se ha realizado en el supuesto de p=q=0,5, para un nivel de confianza del
95,5% (1,96 σ respecto de la μ).
El margen de error para este conjunto de empresas es del ± 4,99%, lo que le confiere la
suficiente representatividad para poder extraer conclusiones a nivel nacional y por
tamaño de la empresa (donde los errores muestrales son, para los mismos niveles de
significatividad y de confianza, de un ± 9,9% para una muestra de 100 entidades de
menos de 10 trabajadores y de un ± 5,8% sobre una muestra de 300 empresas de entre
10 y 49 empleados).
Tabla 4: Niveles de error muestral por tamaño de las empresas participantes en el estudio
Tamaño (número de empleados) Total Margen de error

Menos de 10 empleados 100 ± 9,90%
De 10 a 49 empleados 300 ± 5,78%
TOTAL 400 ± 4,99%
Fuente: INTECO
2.2.3 Fase 3: Elaboración del informe de conclusiones finales del proyecto

En la elaboración del presente informe se recogen el análisis y conclusiones de la
investigación, junto con las recomendaciones de actuación dirigidas a las PYME
españolas, a la industria de seguridad de la información y a las Administraciones
Públicas.
Para realizar los análisis comparativos a nivel europeo e internacional sobre los
diferentes niveles de implantación y madurez de los planes de continuidad de negocio de
las pequeñas y microempresas españolas se han utilizado las siguientes fuentes:
• El estudio A decade of Living dangerously realizado por Chartered Management

Institute 9 en el año 2009 a través de la participación de 1.012 directores de empresas
británicas tanto del sector público como privado. Es posible comparar la evolución de
los resultados del mismo con otro informe publicado por el mismo estamento en el
2010 y titulado Disruption & Resilience.
• El informe The State of SMB 10 IT Security: 2008 to 2009 elaborado por Forrester
Research 11 en el año 2008 y con la participación de 1.206 pequeñas y medianas
empresas de Norteamérica (67%) y Europa (33%, sin incluir sociedades españolas).
El 14% de las empresas participantes disponen de 2 a 5 empleados, el 31% tienen de
6 a 99 empleados, el 34% de 100 a 499 y el 21% restante de 500 a 999 empleados.
• El informe 2009 Disaster Recovery & Business Continuity Survey desarrollado por
Agility Recovery Solutions 12 , en el que colaboran 700 SMBs en Norteamérica (EEUU
y Canadá). El 76% de las participantes tienen menos de 100 empleados.
• La publicación de Forrester Research titulada Business Take BC Planning More

Seriously 13 , en el que colaboran 295 sociedades de diferentes tamaños e industrias
que están ubicadas en EEUU y que participan proactivamente en asuntos
relacionados con la continuidad de negocio.
9
Chartered Management Institute (2009): A decade of Living Dangerously. Disponible en:
http://www.managers.org.uk/research-analysis/research/current-research/decade-living-dangerously-business-continuity-
management.
El estudio Disruption & Resilience está disponible en: http://www.managers.org.uk/research-analysis/research/current-
research/BCM2010
10
SMB: siglas referidas a los términos en inglés Small and Medium Business. Análogo a la pequeña y medida empresa
(PYME) en España.
11
Forrester Research (2009): The State of SMB IT Security: 2008 to 2009. Disponible previo registro en:
http://www.forrester.com/rb/Research/state_of_enterprise_it_security_2008_to/q/id/47857/t/2
12
Agility Recovery Solutions (2009): 2009 Disaster Recovery & Business Continuity Survey. Disponible en:
http://www2.agilityrecovery.com/assets/survey/survey_results_2009_complete.pdf
13
Forrester Research (2009): Business Take BC Planning More Seriously. Disponible previo registro en:
http://www.forrester.com/rb/Research/businesses_take_bc_planning_more_seriously/q/id/47924/t/2
• La publicación de Forrester Research denominada CISOs 14 Must Take The Lead On
Business Resiliency 15 y que cuenta con la participación de SMBs de Norteamérica y
Europa.
• El estudio Business Continuity Research elaborado por Business Continuity Institute 16

(BCI) en el año 2005 y compuesto por 251 entrevistas telefónicas a empresas del
Reino Unido con más de 50 empleados y de todos los sectores de actividad.
• El informe The 2005 Business Continuity Survey desarrollado por Deloitte 17 en

colaboración con 273 sociedades norteamericanas de diferentes industrias del sector
público y privado.
2.2.4 Fase 4: Elaboración de una guía práctica dirigida a las PYME con pautas y
consejos acerca del diseño y puesta en marcha de un plan de continuidad de
negocio
En paralelo a la realización del estudio sobre planes de continuidad de negocio en
pequeñas y microempresas españolas, y aprovechando los resultados del mismo, se
elabora una guía con la intención de identificar y explicar de forma desglosada las
actividades y los requerimientos necesarios para diseñar, implantar y mantener un Plan
de Continuidad de Negocio.
14
CISO: siglas en inglés que hacen mención a Chief Information Security Officer. En España se utiliza el término
equivalente de “Responsable de Seguridad de la Información”
15
Forrester Research (2008): CISOs Must Take The Lead On Business Resiliency. Disponible previo registro en:
http://www.forrester.com/rb/Research/cisos_must_take_lead_on_business_resiliency/q/id/46137/t/2
16
Op. cit. 2
17
Deloitte (2005): The 2005 Business Continuity Survey.
3 ANÁLISIS DEL NIVEL DE SEGURIDAD DE LA PYME
ESPAÑOLA DESDE EL PUNTO DE VISTA DE LA
CONTINUIDAD DE NEGOCIO
Son múltiples las amenazas y los riesgos que una empresa debe afrontar y es cierto que
no es posible poseer el mismo nivel de preparación frente a todos ellos. No todos los
riesgos impactan sobre la disponibilidad de las actividades, sino que, como bien es
conocido, desde el punto de vista de la seguridad de la información, la confidencialidad y
la integridad de la misma también son aspectos amenazados.
El objetivo de este apartado es conocer el comportamiento de la PYME en cuanto a los

esfuerzos (traducidos en inversiones u aplicación de medidas preventivas, de detección,
correctivas o disuasorias) orientados a garantizar procesos ininterrumpidos.
Adicionalmente, se pretende analizar qué tipos de incidentes de seguridad provocan con
mayor frecuencia una parálisis de las actividades y qué impacto (financiero, operativo,
legal o en la propia imagen) ha supuesto.
El concepto de “gestión” de una empresa incluye la tarea de identificar y hacer frente a

los riesgos que suceden con mayor probabilidad y provocan los impactos más severos.
Desde el punto de vista de la continuidad de negocio, a través del estudio se pretende
conocer el nivel de seguridad de las PYME mediante la identificación de las medidas de
seguridad implantadas, así como los tiempos de inactividad permisibles por sus áreas de
negocio.
Por otro lado, la entrega de un producto y/o servicio está supeditada al desarrollo de
diferentes actividades que en muchas ocasiones pueden estar subcontratadas
(realizadas por terceros). De esta forma, la garantía en la citada entrega no solo depende
de las tareas abordadas internamente, sino también de las realizadas por entidades
externas. Por tanto, la disponibilidad y funcionamiento ininterrumpido de un servicio
puede estar condicionada a las capacidades de respuesta de dicho proveedor, al cual se
le debiera exigir requerimientos o garantías de continuidad. En este estudio también se
analiza el grado de implantación de esta práctica.
Con independencia de la tipología de las incidencias que afectan a las pequeñas y

microempresas españolas participantes en el estudio que se analizará a continuación, el
nivel de seguridad, a priori, está muy relacionado con el nivel de inversión en productos
y/o servicios de seguridad que estas realizan.
Respecto a éste, el 58% de las entidades afirman que, para el presente año (2010), la
inversión en productos o servicios de seguridad oscila entre 0 y 3.000 € (ver Gráfico 3).
Gráfico 3: Distribución de las inversiones en seguridad en el año 2010 (%)
De 0 a 3.000 € 58,0%
De 3.001 € a 6.000€ 6,9%
De 6.001 € a 18.000€ 5,7%
Más de 50.000 1,2%
De 24.001 € a 50.000€ 1,0%
De 18.001 € a 24.000€ 0,9%
NS/NC 26,4%
0% 20% 40% 60% 80% 100%
Si se trata de realizar un análisis de estas inversiones de seguridad en función del

tamaño de la PYME, a partir de la siguiente tabla:
Tabla 5: Inversiones de seguridad en función del tamaño de la PYME (%)
Tamaño
De 0 a De 3.001 a De 6.001 a De 18.001 De 24.001 Más de
(número de NS/NC
3.000 € 6.000 € 18.000 € a 24.000 € a 50.000 € 50.000 €
empleados)
Menos de
10 61,4% 5,9% 5,0% 1,0% 1,0% 1,0% 24,8%
empleados
De 10 a 49
36,8% 10,5% 10,5% 0,0% 0,0% 5,3% 36,8%
empleados
TOTAL 57,5% 6,7% 5,8% 0,8% 0,8% 1,7% 26,7%
Es posible extraer las siguientes conclusiones:
• La probabilidad de que la PYME no tenga visibilidad sobre las inversiones destinadas

al ámbito de seguridad es mayor cuanto más grande sea la PYME. De hecho, el
36,8% de las empresas de 10 a 49 empleados desconocen tales inversiones (frente al
24,8% de aquellas que tienen menos de 10 empleados).
• Tímidamente se puede apreciar la tendencia de que la inversión de seguridad se

incrementa a medida que aumenta el tamaño de la empresa en cuanto a número de
empleados. Así, el 21,0% de las PYME entrevistadas que poseen entre 10 y 49
empleados indican que realizan inversiones comprendidas entre los 3.001 € y los
50.000 €. Para este mismo rango económico, el porcentaje se reduce al 12,9% de las
empresas con menos de 10 empleados.
Aunque no es el objetivo de este informe determinar a qué tipo de productos o servicios

de seguridad se destinan estas inversiones, o cuál es la tendencia de las mismas, el
Estudio sobre la seguridad y la e-confianza en las pequeñas y microempresas
españolas 18 desarrollado por INTECO en 2009 afirmaba que las principales medidas de
seguridad adoptadas por las empresas españolas son las relacionadas con los
programas antivirus o anti-spam, las copias de seguridad y los cortafuegos (todas ellas
con tasas de uso superiores al 50%).
En este sentido, un dato esperanzador, que en definitiva muestra niveles crecientes de

concienciación en materia de seguridad de la información, es que el 13,3% realiza en
este año inversiones de seguridad que varían entre los 3.000 € y los 24.000 €.
3.1 Percepción de las incidencias de seguridad por parte de las empresas
El presente estudio confirma lo que INTECO viene anunciando en varios de sus estudios
y es que las PYME españolas perciben que se encuentran expuestas a padecer
incidentes de seguridad de índole muy variada, aunque entre ellos siempre figuran los
que tienen que ver con la seguridad de la información. Entre los sucedidos en los últimos
3 meses se pueden destacar (ver Gráfico 4):
• Falta de servicios por parte de los proveedores (16,3%).
• Ataques informáticos (11,1%).
• Caída de sistemas de soporte (climatización, electricidad o líneas de comunicación

(8,9%).
El bajo porcentaje de ocurrencia de estos sucesos (el 56,7% afirman no haber sufrido
ningún incidente de seguridad en los últimos 3 meses) parece deberse, no obstante, al
corto periodo temporal abarcado y al hecho de haber considerado únicamente aquellas
incidencias que afectan a la disponibilidad de las actividades y/o recursos críticos. Aún
así, si se observa la totalidad de los diferentes incidentes de seguridad que de una u otra
forma impactaron en la continuidad de las operaciones, se puede establecer como
probable que las compañías puedan sufrir interrupciones.
18
Op. cit. 5
Gráfico 4: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses
La compañía no ha sufrido ningún incidente de seguridad en los

3 meses 56,7%
Falta de servicio por parte de proveedores 16,3%
Ataque informático 11,1%

Caída de sistemas de soporte (climatización, líneas y
dispositivos de comunicación, etc.) 8,9%
Caída de mis sistemas/aplicaciones 7,4%
Multas, sanciones 4,4%
Inundación, terremoto, incendio 3,6%
Perdida de datos de negocio críticos 1,7%
Baja de personal crítico 1,7%
Daño físico en instalaciones/equipos 1,4%
Otros 2,0%
NS/NC 8,1%
0% 20% 40% 60% 80% 100%
Base: Total PYME y casos de éxito (n=429) Fuente: INTECO
En concordancia con este análisis, el ya citado estudio realizado por Agility Recovery
Solutions en el 2009 sobre 700 pequeñas y medianas empresas de Norteamérica
(Disaster Recovery & Business Continuity Survey) viene a corroborar la facilidad con las
que las entidades pueden sufrir paradas en sus operaciones. En concreto, en los 2 años
anteriores a la realización del estudio, el 52% de las organizaciones consultadas sufrió
una interrupción de sus procesos de negocio que impactó en la productividad. Incluso el
81% de dichas interrupciones supuso el cierre temporal del negocio durante al menos un
día.
Siguiendo con el gráfico anterior, el porcentaje restante correspondiente con las que sí
han padecido incidentes que han supuesto la parada de sus actividades de negocio
(35,2%), dificulta el concluir acerca de un perfil de incidencia acotado, definido y
característico de incidente “tipo” de seguridad que desemboque en interrupciones de los
procesos de negocio. Quizás es posible destacar a nivel genérico la indisponibilidad de
sistemas de soporte, aplicaciones o del propio servicio del proveedor. Este hecho
refuerza la idea de que nunca se sabe que evento puede padecer una organización
provocando la paralización de sus actividades, ya que estos dependerán en gran
medida de cada casuística concreta.
A la hora de identificar las principales causas que han podido desencadenar estos
incidentes de seguridad (ver Gráfico 5), y a pesar que las respuestas son variadas,
existen tres motivos (el desconocimiento de la amenaza con un 6,9%, la mala u obsoleta
configuración de los sistemas -6,8%- y la escasa eficacia de las herramientas de
prevención asociadas con un 3,1%) que refuerzan la idea de que las PYME pueden no
ser conscientes de los riesgos a los que se enfrentan y consecuentemente las medidas
adoptadas para hacer frente a los mismos no son eficaces porque realmente no conocen
ni priorizan las amenazas a las que deben hacer frente:
Gráfico 5: Causas de los incidentes de seguridad (I) (%)
Desconocía la amenaza 6,9%
Sistemas obsoletos 3,7%
Sistemas mal configurados 3,1%
Disponía de herramientas pero no han sido efectivas 3,1%
Conocía la amenaza pero no sabía cómo prevenirla 2,9%
Mal asesoramiento 2,7%
No disponía de herramientas para prevenirla 1,6%
Conocía el riesgo pero no disponía de presupuesto 0,9%
Otras 10,9%
0% 20% 40% 60% 80% 100%
Base: PYME que han sufrido algún incidente de seguridad (n=372) Fuente: INTECO
El análisis más en detalle de otras causas indicadas por los participantes (10,9% - Gráfico
5) desvela que en su mayor parte las empresas que contestaron dicha opción aplican la
responsabilidad a un fallo en el servicio por parte de los proveedores (61,1% - Gráfico 6)
que de una forma u otra contribuyen a mantener activas las actividades de negocio (ver
Gráfico 6):
Gráfico 6: Causas de los incidentes de seguridad (II) (%)
Fallo de proveedores (electricidad,

61,1%
comunicaciones,…)
Falta de revisión o manipulación inadecuada 16,3%
Causas meteorológicas o externas 11,1%
Sistemas o licencias desactualizados 7,8%
Espionaje Industrial 1,6%
Daño físico de equipos 0,6%
Deterioro instalaciones y/o equipos 0,5%
Avería mecánica 0,5%
NS/NC 0,5%
0% 20% 40% 60% 80% 100%
Base: PYME que han sufrido otro tipo de incidente de seguridad (n=54) Fuente: INTECO
3.2 Tipología de impactos generados por los incidentes de seguridad
Para facilitar la identificación de las consecuencias de los incidentes de seguridad se les

ha preguntado a las empresas sobre aquellas que pueden implicar los siguientes tipos de
impactos:
• Impacto económico-financiero: el referido a las pérdidas económicas derivadas de los

incidentes de seguridad.
• Impacto operativo: en alusión a la paralización de las actividades de la compañía

como consecuencia de dichos acontecimientos.
• Impacto en la imagen/reputación: en referencia a la pérdida de confianza y solidez

que una empresa puede padecer como consecuencia de un incidente de seguridad.
Quizás este tipo es el más complicado de valorar por su intangibilidad e incluso por el
efecto que puede derivar a largo plazo.
• Impacto legal/contractual: sería el caso de una empresa que, a raíz de un incidente de

seguridad, es señalada como infractora de requerimientos legales o acuerdos
contractuales con terceros (clientes, socios, accionistas, etc.).
Para aquellas compañías que han soportado un incidente de seguridad en los últimos 3
meses, el 36,7% han tenido consecuentemente pérdidas económicas, tal y como se
muestra en el Gráfico 7, si bien el 20,4% no han podido estimar cuantitativamente dichas
pérdidas.
Gráfico 7: Distribución de empresas con pérdidas económicas derivadas de incidentes de
seguridad
Se han sufrido pérdidas

económicas y se han 16,3%
calculado
Se han sufrido pérdidas

económicas pero no se 20,4%
han calculado
No se han sufrido
63,4%
pérdidas económicas
0% 20% 40% 60% 80% 100%
Para el porcentaje de empresas participantes que han sufrido algún suceso de seguridad
en los últimos 3 meses y ha tenido la capacidad de calcular el daño económico asociado
(16,3%), se hace necesario resaltar que las pérdidas económicas por experimentar la
caída de sus sistemas de soporte (climatización, líneas de comunicación) han superado
los 15.000 € en una de cada cuatro PYME. En cambio el 69,6% de las empresas cuyos
procesos de negocio se vieron paralizadas por la falta de servicio de sus proveedores
sufrieron pérdidas inferiores a 1.500 € (ver Gráfico 8).
Del Gráfico 4 y del Gráfico 8 es posible extraer una lectura adicional que coincide a la
hora de poner en práctica cualquier método de análisis de riesgos de seguridad (por
ejemplo, Magerit 19 u Octave 20 ): los incidentes de seguridad relacionados con incendios,
terremotos e inundaciones, si bien tienen gran difusión mediática y suelen provocar
grandes pérdidas económicas, no son muy frecuentes. En este sentido, tan sólo el 3,6%
de las pequeñas y microempresas participantes han sufrido esta tipología de incidentes y,
en el caso de aquellas entidades que han calculado sus pérdidas financieras, en el 11,2%
de los casos éstas han ascendido a más de 15.000 €.
19
Magerit: Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica.
http://www.csi.map.es/csi/pg5m20.htm
20
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation, por sus siglas en ingles): es un conjunto de
herramientas, técnicas y métodos (desarrollados por el CERT Coordination Center del Software Engineering Institute de la
Universidad Carnegie Mellon de Pensilvania, Estados Unidos) empleados para el análisis de riesgos tecnológicos
http://www.cert.org/octave/
Gráfico 8: Distribución de pérdidas económicas derivadas de los incidentes de seguridad
Perdida de datos de negocio críticos (n=6)0,0% 100,0% 0,0%
Baja de personal crítico (n=4) 100,0% 0,0%
Caída de mis sistemas/aplicaciones (n=30) 100,0% 0,0%
Inundación, terremoto, incendio (n=12) 77,6% 11,2% 11,2%
Falta de servicio por parte de proveedores (n=46) 69,6% 21,5% 8,9%
Daño físico en instalaciones/equipos (n=13) 30,6% 69,4% 0,0%

Caída de sistemas de soporte (climatización, líneas y
25,0% 50,0% 25,0%
dispositivos de comunicación, etc.) (n=35)
Multas, sanciones (n=14) 21,5% 59,7% 18,7%
Otros (n=10) 0,0% 100,0% 0,0%
0% 20% 40% 60% 80% 100%
Menor a 1.500 € Entre 1.501 y 15.000 € Más de 15.000€
Al hilo de esta conclusión, y en comparación con la percepción de otras PYME de Europa

y Norteamérica, el estudio publicado por Forrester Research en el año 2008 21 establece
un cambio paulatino en la percepción de las amenazas que pueden interrumpir las
operaciones de las organizaciones. Es decir, comienzan a percibir que situaciones
extremas como terremotos, inundaciones e incendios son menos frecuentes que otras
como las caídas de la corriente eléctrica, fallos en las TIC o errores humanos.
Todas ellas en conjunto justifican la inversión en servicios y tecnologías de continuidad

de negocio y en definitiva la necesidad de estar preparado ante cualquier tipo de evento
adverso.
Ante la dificultad identificada de las empresas participantes para calcular las pérdidas
económicas derivadas de los incidentes de seguridad que han impactado en sus
actividades de negocio, en el análisis se contempla la posibilidad de determinar
cualitativamente dicha pérdida (ver Gráfico 9). En un 26,8% de los casos esos daños
fueron valorados como altos o muy altos.
21
Op. cit. 15
Gráfico 9: Valoración cualitativa de las pérdidas económicas generadas por los incidentes
de seguridad
100%
80%
60%
40%
28,3%
24,8% 23,7%
18,7%
20%
2,5% 2,0%
0%
No sabria Bajo Medio Alto Muy alto NS/NC
valorarlo
Como se ha comentado anteriormente, aunque los daños económicos sean los más
visibles a priori, las interrupciones de las actividades de las empresas pueden tener otro
tipo de consecuencias que han sido valoradas en el presente estudio.
El Gráfico 10 muestra que en la mayoría de los casos (87,9%) los incidentes de

seguridad han mermado la capacidad para llevar a cabo de forma continuada las
funciones de negocio (operatividad). Por otro lado, debido a la ausencia de regulaciones
o acuerdos contractuales con proveedores que fuercen a las empresas a aplicar
requerimientos de continuidad de negocio, tan solo el 1,7% de las PYME cuyas
actividades se vieron paralizadas han tenido consecuencias legales o contractuales.
Gráfico 10: Empresas que han sufrido impactos operativos, legales/contractuales o en la
propia imagen
1,7%
10,4%
87,9%
Impacto en la operatividad Impacto en la Imagen Impacto legal/contractual
En un análisis más detallado (ver Gráfico 11), las incidencias de seguridad que
interrumpen las operaciones de negocio de las empresas y dañan en mayor medida la
imagen de confianza y la reputación de cara al exterior (clientes, accionistas, socios, etc.)
son la caída de las aplicaciones (2,6%) y sistemas de soporte (1,1%) y la falta de servicio
por parte del proveedor/es (1,1%).
Los eventos adversos que más penalizan la operatividad de las compañías son los
relacionados con la ausencia del servicio por parte del proveedor externo (12,8%) y la
interrupción de los sistemas de soporte (8,6%).
Si bien anteriormente se ha reflejado la escasa probabilidad de que una paralización de

las actividades de negocio de una PYME desencadene consecuencias
legales/contractuales, éstas se suceden en el 0,8% de los casos en los que dicha
paralización es atribuible a la falta de servicio por parte del proveedor.
Gráfico 11: Consecuencias o impactos derivados de los incidentes de seguridad
Falta de servicio por parte de proveedores (n=46) 12,8%

1,1%
0,8%
Caída de sistemas de soporte (climatización, líneas 8,6%
1,1%
y dispositivos de comunicación, etc.) (n=35) 0,2%
7,6%
5,0%
Caída de mis sistemas/aplicaciones (n=30) 2,6%
0,2%
3,4%
Inundación, terremoto, incendio (n=12)
2,4%
Perdida de datos de negocio críticos (n=6) 0,8%
0,0%
1,7%
Baja de personal crítico (n=4) 0,0%
1,1%
Daño físico en instalaciones/equipos (n=13)
0,8%
Multas, sanciones (n=14)
0,2%
Otros (n=10)
0% 20% 40% 60% 80% 100%
Impacto en la operatividad Impacto en la imagen Impacto legal/contractual
3.3 Respuesta a los incidentes de seguridad por parte de las empresas
Existen multitud de actividades que evitan, en la medida de lo posible, que se produzcan

incidentes de seguridad que, de no ser contrarrestados adecuadamente, pueden paralizar
las operaciones de las compañías.
Del análisis del grado de implantación de estas medidas de seguridad en aquellas PYME
que han padecido algún evento de seguridad adverso, se desprenden las siguientes
conclusiones (ver Gráfico 12):
• El 87,8% de las pequeñas y microempresas participantes realizan copias de

seguridad de su información. Este dato viene reforzado en el Estudio sobre la
seguridad y la e-confianza en las pequeñas y microempresas españolas elaborado
por INTECO 22 y en el que se establece que la práctica totalidad de las empresas
(94,2%) realizan copias de seguridad.
• Más del 62% de las empresas encuestadas poseen sistemas de detección y extinción
de incendios (62,4%).
• La adquisición de software (como por ejemplo para la autorización de los procesos de

copiado de información, o los antivirus) o hardware (en muchas ocasiones con el fin
de buscar redundancia de equipos y comunicaciones) es una práctica frecuente en la
mayoría de las PYME (79,7%).
22
Op. cit 5
• El 63,6% de las empresas afirman recurrir a la contratación de un seguros (los cuales
generalmente cubren económicamente las pérdidas generadas por los daños físicos
en las instalaciones y/o equipos) y a la consulta o solicitud de soporte a expertos (en
este caso el 79,2% de las entidades).
• De cara a un futuro inmediato, el 25,4% de las empresas participantes en el estudio

tienen pensado dotarse de mayor conocimiento acerca de la adopción de planes de
continuidad de negocio y el 22% tienen pensado adoptar medidas que garanticen la
continuidad de sus operaciones en caso de contingencia grave (desde medidas de
seguridad preventivas hasta planes formales de continuidad de negocio).
• En concordancia con las pequeñas inversiones realizadas por la PYME en materia de

seguridad y garantía de continuidad, acciones como establecer acuerdos con terceros
(proveedores de servicio) en términos de continuidad (37,7%), adquirir o alquilar
centros de respaldo alternativo (41,9%), adoptar procesos integrales de gestión de
riesgos (64,6%) o adquirir nuevos productos de seguridad (47,5%) son medidas que
no están previstas para ser implantadas o desarrolladas entre las empresas
participantes.
Gráfico 12: Medidas de seguridad destinadas a garantizar la continuidad de sus

operaciones
Realización de copias de seguridad 87,8% 12,2%

Adquisición de SW/HW 79,7% 0,3% 20,0%
Consultar a un experto 79,2% 0,3% 20,5%
Redundancia de equipos y/o comunicaciones 74,0% 9,2% 16,8%
Contratación de un seguro 63,6% 15,5% 20,9%
Sistemas detección/extinción incendios 62,4% 37,6%
Adopción medidas que garantizan la continuidad 62,3% 22,0% 15,7%
Contratación de asesoría externa 59,2% 0,4% 40,4%
Sistemas de climatización 53,8% 46,2%
Mejora realización de copias de seguridad 52,0% 12,1% 35,9%
Buscar más información sobre la materia 45,6% 25,4% 29,0%
Establecimiento acuerdos con terceros 43,4% 18,9% 37,7%
Adquisición nuevo producto de seguridad 40,1% 12,4% 47,5%
Adquisición/alquiler centro de respaldo alternativo 47,2% 10,9% 41,9%
Adopción proceso gestión de riesgos 35,4% 64,6%
Contratación servicios seguridad física 35,4% 64,6%
Otras 54,8% 14,5% 30,6%
0% 20% 40% 60% 80% 100%

Ya implantada Lo voy a implantar Ni la he implantado, ni la implantaré
Un análisis pormenorizado de los motivos por los cuales las compañías no han decido
implantar medidas de seguridad destinadas a la continuidad de sus operaciones tras los
incidentes sufridos muestra que (ver Gráfico 13):
• Un 22% de las organizaciones considera que se trataba solamente de una incidencia
puntual del proveedor o incluso un incidente ocasional (en el 14,2% de las PYME) y
que por consiguiente puede no volver a producirse.
• Un 16,9% piensa que el coste de implementación de medidas supera el riesgo al que

están sometidos.
• Un 11,8% atribuye la no implantación a una falta de recursos tanto económicos como

de personal.
• El 24,8% restante comenta que, de algún modo, lograron minimizar las

consecuencias de dichos incidentes, bien gracias a sus seguros, al cambio de
proveedor o recurriendo las sanciones económicas recibidas, entre otros.
Estos datos reflejan que, en los casos en los que los incidentes están relacionados con
un servicio proporcionado por un proveedor, con frecuencia, las empresas consideran no
estar en condiciones de exigir a los proveedores responsabilidades por los incidentes
sufridos y/o garantías futuras de cumplimiento de servicio.
Gráfico 13: Motivos por los que no implantar ninguna medida de seguridad destinada a
garantizar la continuidad de sus operaciones
Incidencia puntual del proveedor 22,0%
Coste superior al riesgo 16,9%

No se ha considerado necesario (incidencia puntual
14,2%
o resuelta)
Falta de recursos de tiempo, presupuesto y/o
11,8%
personal
Sanción económica recurrida 9,0%
El seguro minimizó las pérdidas 8,8%
La incidencia no tuvo un impacto severo asociado 3,9%
No posible cambiar de proveedor 1,3%
Cambio de proveedor 1,3%
Medidas existentes cubren razonablemente el riesgo 0,5%
NS/NC 10,3%
0% 20% 40% 60% 80% 100%
Base: PYME que no han implantado ninguna medida de seguridad (n=36) Fuente: INTECO
3.4 Madurez de los procesos de gestión de riesgos que impactan en la
continuidad del negocio
Tal y como se detalla en la Guía práctica para pequeñas y medianas empresas: cómo
implantar un Plan de Continuidad de Negocio desarrollada por INTECO, el proceso de
análisis y gestión de riesgos es fundamental para:
• Identificar y priorizar los riesgos a los que una empresa debe enfrentarse. En términos
de continuidad de negocio, el alcance del citado proceso está compuesto por aquellos
riesgos que pueden paralizar las actividades de negocio de una organización.
• Determinar las medidas de seguridad a implantar que son más adecuadas en función
de los riesgos previamente identificados.
La mejor forma para adoptar estrategias de seguridad acordes a las necesidades y a la

realidad de las empresas debe estar basada en conocer los riesgos que amenazan la
continuidad de sus procesos de negocio.
Del análisis inicial de las respuestas obtenidas, se obtiene que un 38,3% de las empresas
participantes mantiene un proceso de gestión abordado de forma periódica para hacer
frente a los riesgos que pueden afectar a la continuidad de sus operaciones, lo que
denota a priori cierto nivel de preocupación y proactividad al respecto (ver Gráfico 14).
Gráfico 14: Empresas que realizan algún tipo de acción orientada a hacer frente a los
riesgos de continuidad (%)
4,6%
16,1%
16,8%
71,2%
24,2%
38,3%
No
NS/NC
Sí, pero solo ocasionalmente y cuando el presupuesto y la carga de trabajo lo permite
Solo en contadas ocasiones
Sí, es un proceso optimizado, gestionado y abordado periódicamente
Teniendo en cuenta los diferentes sectores de actividad de las PYME participantes en el
estudio (ver Tabla 6), las que presentan grados más avanzados desde el punto de vista
de adopción y realización madura de procesos de gestión de riesgos son las enmarcadas
en actividades profesionales, científicas y técnicas (72,7%) seguidas de las dedicadas a
tecnologías de la información y comunicación (58,3%). Al otro extremo del análisis, las
compañías de la construcción y las del sector de industria manufacturera, extractiva,
suministros y/o agricultura, ganadería y pesca son las más reactivas a la hora de adoptar
tales procesos:
Tabla 6: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos
de continuidad en función de su actividad (%)
Sí, pero solo

Sí, es un proceso
cuando el
optimizado, Solo en
presupuesto
Sector de Actividad gestionado y contadas No NS/NC
y la carga
abordado ocasiones
de trabajo lo
periódicamente
permite
Actividades
Profesionales, 72,7% 9,1% 0,0% 18,2% 0,0%
Científicas y Técnicas
Tecnología de la
Información y 58,3% 25,0% 0,0% 8,3% 8,3%
Comunicación
Educación, Actividades
Sanitarias y de 37,5% 37,5% 12,5% 12,5% 0,0%
Servicios Sociales
Comercio + Hostelería
+ Reparaciones + 37,5% 9,4% 28,1% 15,6% 9,4%
Servicios Personales
Transporte y
33,3% 22,2% 11,1% 33,3% 0,0%
Almacenamiento
Otros sectores 25,0% 25,0% 0,0% 50,0% 0,0%
Actividades Financieras
y Seguros +
22,2% 22,2% 22,2% 33,3% 0,0%
Actividades
Inmobiliarias
Industria Manufacturera
+ Industria Extractiva +
Suministros + 9,1% 18,2% 18,2% 45,5% 9,1%
Pesca
Construcción 8,3% 8,3% 33,3% 41,7% 8,3%
TOTAL 38,7% 16,0% 16,0% 24,4% 5,0%
Las buenas perspectivas en materia de gestión de riesgos que son posibles extraer a
través de la interpretación del Gráfico 14, son corroboradas por otro tipo de estudios
como el publicado por Forrester Research denominado Business Take BC Planning More
Seriously 23 . En el mismo se establece en el tiempo una mejora de la percepción que las
empresas tienen de los riesgos: antes, las sociedades centraban sus esfuerzos de
continuidad en tratar con amenazas relacionadas con desastres naturales (ignorando
otros eventos como caídas de la corriente eléctrica, fallos en los sistemas de información
o errores humanos que frecuentemente son las causantes de la interrupción de las
actividades). Hoy en día, las compañías comienzan a asimilar que sus estrategias de
continuidad de negocio deben estar basadas en procesos previos de análisis y gestión de
riesgos.
A la hora de tratar de conocer en qué consisten tales acciones es cuando se detecta un

ligero desconocimiento o falta de entendimiento acerca de qué es un proceso integral de
gestión de riesgos: la mayor parte de las entidades que inicialmente disponen de dichos
procesos perciben, en su mayoría, que éstos consisten en aplicar copias de seguridad,
backups y/o programas antivirus (51,4%).
Gráfico 15: Métodos utilizados por las PYME para identificar y hacer frente a los riesgos de
continuidad
Copias de Seguridad/Backup/Anti virus 51,4%
Firewall 9,5%
Revisión de log 9,2%
Auditoría/Asesoría/Consultoría 6,1%
Empresa externa 5,9%
ISO 27001 0,5%
Otros (seguros, alarmas, sistemas detección

5,6%
incendios, SAI, …)
NS/NC 11,8%
0% 20% 40% 60% 80% 100%
Base: PYME que han realizado alguna acción orientada a identificar riesgos (n=298) Fuente: INTECO
Obviamente estas medidas están orientadas a hacer frente a los riesgos que pueden
impactar sobre la continuidad de las actividades de las PYME, pero si el proceso se
centra en la tarea previa de identificar y priorizar los mismos en base a su impacto y su
probabilidad de ocurrencia (en definitiva, su criticidad), las iniciativas en este sentido son
mínimas.
23
Op. cit. 13
De todos modos, aún es preocupante como se muestra en el Gráfico 14 el hecho de que
la otra mitad de las PYME participantes en el estudio mantengan una posición reactiva
para hacer frente a los riesgos. Bien es cierto que, dentro de esa mitad no sólo se
contabilizan aquellas entidades que no realizan ningún tipo de acción preventiva (24,2%),
sino también aquellas que las realizan puntualmente tras los incidentes sufridos (16,8%)
o cuando el presupuesto se lo permite (16,1%).
Entre las principales razones de esta visible falta de proactividad destacan como se
muestra en el Gráfico 16:
• Falta de personal, de presupuesto o de tiempo (38%).
• Considerar innecesarias este tipo de acciones innecesarias (32,4%).
Gráfico 16: Razones que motivan que la empresa no aborde procesos de gestión de riesgos
de continuidad de negocio
Falta de recursos de personal, presupuesto y/o

38,0%
tiempo
No lo consideran necesario 32,4%
Enfoque de la gestión del día a día 10,4%
No se ha considerado la problemática 7,7%
Otras prioridades 6,5%
No ha ocurrido ningún incidente con anterioridad 4,4%
Desconocimiento en la materia 0,2%
NS/NC 0,4%
0% 20% 40% 60% 80% 100%
Base: PYME que no han realizado ninguna acción orientada a identificar riesgos (n=113) Fuente: INTECO
Para fortalecer este tipo de acciones, entidades como ENISA (European Network and
Information Security Agency) iniciaron en el año 2009 un proyecto piloto 24 sobre PYME
españolas con el objetivo de impulsar en las mismas procesos y metodologías de gestión
de riesgos que les permitiesen orientar y asignar correctamente las inversiones de
seguridad.
24
ENISA (2009): Risk Management Pilot for SMEs and Micro Enterprises in Spain. Disponible en
http://www.enisa.europa.eu/act/rm/cr/infosec-smes/files/cs_GMV.pdf
Paralelamente, se ha tratado de identificar con las PYME participantes en el estudio el
tiempo que como máximo podrían tener interrumpidas sus principales actividades de
negocio a causa de una contingencia o incidente grave (ver Gráfico 17). Esto es, el
tiempo de inactividad máximo que las empresas podrían soportar antes de afrontar un
impacto severo sobre las finanzas, las operaciones o la propia imagen de la compañía.
Independientemente del sector de actividad, el 35,8% de las empresas afirman no poder

permitirse la paralización de sus actividades críticas, lo que fortalece la importancia y la
criticidad de adoptar planes de continuidad de negocio en cualquier tipo de PYME.
Del mismo modo, sólo un 17,5% de las pequeñas y microempresas españolas

encuestadas podría mantener sus actividades paralizadas durante más de 5 días sin que
este hecho supusiese un impacto severo para la compañía.
Gráfico 17: Tiempo máximo permitido de interrupción de las actividades de negocio de las
PYME
100%
80%
60%
40% 35,8%
22,6%
20% 17,5%
11,7% 12,5%
0%
Inmediatamente Más de 12 horas Más de 24 horas Más de 48 horas Más de 5 días
Si se realiza el mismo estudio en función del sector de actividad de la PYME, el 54,5% de

las PYME participantes del sector de manufactura y el 50% del sector de transporte y
almacenamiento no pueden permitirse que sus actividades se paralicen. Los datos
asociados al sector de manufactura son paradójicos, ya que es el sector que presenta
más requerimientos de continuidad de sus operaciones y por el contrario es el más reacio
a establecer acciones orientadas a prevenir los riesgos que impactan en dicha
continuidad (ver Tabla 7).
Lo mismo sucede con casi la mitad (45,5%) de las PYME pertenecientes al sector de
tecnología de la información y comunicación. Tan solo los sectores de Construcción y
Actividades Financieras pueden llegar a poseer cierto margen de interrupción de su
operativa ya que en cada uno de ellos, casi 1 de cada 2 empresas afirma poder tener
paralizadas sus actividades durante más de 5 días.
Tabla 7: Tiempo máximo permitido de interrupción en función de la actividad de negocio de

la PYME (%)
Más de Más de Más de Más de 5

Grupo de actividad Inmediatamente
12h. 24h. 48h. días
Otros sectores 75,0% 0,0% 25,0% 0,0% 0,0%
Suministros + 54,5% 9,1% 18,2% 9,1% 9,1%
Pesca
Transporte y
50,0% 10,0% 10,0% 10,0% 20,0%
Almacenamiento
Tecnología de la
Información y 45,5% 18,2% 9,1% 27,3% 0,0%
Comunicación
Construcción 36,4% 9,1% 0,0% 9,1% 45,5%
Sanitarias y de Servicios 33,3% 33,3% 33,3% 0,0% 0,0%
Sociales
Comercio + Hostelería +
Reparaciones + Servicios 29,6% 3,7% 33,3% 18,5% 14,8%
Personales
Actividades Financieras y
Seguros + Actividades 25,0% 0,0% 12,5% 12,5% 50,0%
Inmobiliarias
Actividades
Profesionales, Científicas 20,0% 20,0% 40,0% 5,0% 15,0%
y Técnicas
TOTAL 36,0% 11,7% 23,4% 11,7% 17,1%
Ante esta situación, tal y como se han comentado con anterioridad, cada vez es más
necesario que las organizaciones establezcan una serie de medidas técnicas,
organizativas y procedimentales que garanticen la continuidad de sus actividades o
procesos de negocio ante un incidente grave.
Toda empresa depende de sus recursos, del personal y de las tareas que día a día son
ejecutadas con el fin de mantener los beneficios y la estabilidad. La mayor parte posee
bienes tangibles, empleados, sistemas y tecnologías de la información, etc. En el
momento en que alguno de estos componentes es dañado o deja de estar accesible por
la razón que sea, la organización corre el riesgo de paralizarse.
Del mismo modo, cuanto mayor sea el tiempo de interrupción, mayor será el esfuerzo
requerido para retomar la actividad habitual, existiendo incluso la probabilidad de tener
que comenzar de nuevo desde cero.
3.5 Requerimiento de continuidad en los servicios facilitados por terceros o

forma de gestionar la interdependencia
En la línea de lo expuesto en el epígrafe 3.1, alguna de las PYME entrevistadas afirma

que las causas de dichos incidentes se han derivado de un fallo por parte de proveedores
de servicio. Este hecho puede asociarse de manera cualitativa a que las empresas ni
siquiera se plantean la posibilidad de que el servicio de su proveedor pueda llegar a fallar.
Es importante destacar que, de cara a la gestión de la continuidad de una organización,

las compañías pueden contar con proveedores externos que soportan sus actividades de
negocio (energía eléctrica, telefonía, conexión a Internet, etc.), por lo que la continuidad
de estos servicios externos es un aspecto a considerar.
Entre los requerimientos o medidas que las empresas pueden establecer con los
proveedores para el control de los servicios prestados se incluyen por ejemplo acuerdos
de nivel de servicio 25 , cláusulas de penalización por incumplimiento de servicios, reportes
periódicos del nivel de servicio del proveedor o incluso requerimientos contractuales de
continuidad.
En este sentido, y derivado también del estudio, no parece que las empresas
participantes sean conscientes de que la disponibilidad de sus operaciones pueda
depender de las garantías de continuidad de sus proveedores. De hecho, como se
muestra en el Gráfico 18, el 72% de las pequeñas y microempresas españolas
entrevistadas no exigen a dichos proveedores ningún tipo de requerimiento, certificación
o medida destinada a garantizar la continuidad de su servicio.
25
Acuerdo de nivel de servicio o Service Level Agreement, también conocido por las siglas ANS o SLA, es un contrato
escrito entre un proveedor de servicio y su cliente con objeto de fijar el nivel acordado para la calidad de dicho servicio.
Gráfico 18: Empresas que exigen algún tipo de requerimiento/certificación/medidas/planes
que garanticen la continuidad de los servicios de sus proveedores en caso de desastre
9,3%
18,7%
72,0%
Sí No NS/NC
Del 18,7% que sí demandan aspectos de continuidad de negocio a sus proveedores, los
más característicos son:
• Calidad mínima en la entrega del servicio (22,3% de los demandantes).
• Servicio 24x7 (24 horas al día los 7 días de la semana) establecido contractualmente
con los proveedores de los servicios más críticos o tiempos de respuesta inmediatos
(14,3%).
• Certificados o cumplimientos de estándares de seguridad y/o continuidad (14,1%).
• Especificaciones a nivel contractual (11,3% de los demandantes).
A nivel del grupo de actividad de las empresas participantes en el estudio, y tal y como se
muestra en la Tabla 8, los sectores de actividad que con más frecuencia demandan a sus
proveedores este tipo de requerimientos de continuidad son los relativos a transporte y
almacenamiento (37,5%) y al de construcción y tecnologías de la información y
comunicación (ambos últimos con un 25%).
Tabla 8: Sectores de actividad que exigen algún tipo de requerimiento / certificación /
medidas / planes que garanticen la continuidad de los servicios de sus proveedores en
caso de desastre (%)
Grupo de actividad No Sí NS/NC

Transporte y Almacenamiento 62,5% 37,5% 0,0%
Tecnología de la Información
66,7% 25,0% 8,3%
y Comunicación
Construcción 75,0% 25,0% 0,0%
Otros sectores 75,0% 25,0% 0,0%
Actividades Profesionales,
68,8% 18,8% 12,5%
Reparaciones + Servicios 60,0% 16,7% 23,3%
Personales
Actividades Financieras y
Seguros + Actividades 88,9% 11,1% 0,0%
Inmobiliarias
Sanitarias y de Servicios 88,9% 11,1% 0,0%
Sociales
Industria Manufacturera +
Industria Extractiva +
90,0% 10,0% 0,0%
Suministros + Agricultura,
Ganadería, Pesca
TOTAL 71,8% 19,1% 9,1%
4 CULTURA Y CONOCIMIENTO DE LA PYME
ESPAÑOLA EN MATERIA DE CONTINUIDAD DE
NEGOCIO
La parte del estudio que concluye el nivel de cultura y conocimiento de las PYME
españolas en materia de continuidad de negocio es quizás la que despierta mayor
inquietud (aparte de ser una de las más importantes del presente estudio). Pese a un
esperanzador nivel de implantación de medidas observado en las empresas participantes
y un moderado grado de concienciación en materia de seguridad, el análisis muestra una
visible falta de conocimiento del ámbito de la seguridad centrado en garantizar la
continuidad de las operaciones en caso de desastre.
El 61% de las pequeñas y microempresas españolas encuestadas afirman que los

conceptos de Plan de Continuidad de Negocio (PCN o BCP por sus siglas en inglés) o
Plan de Recuperación ante Desastres (PRD o DRP por sus siglas en inglés) les son
totalmente desconocidos.
El 12,5% de las empresas afirman conocer “absolutamente” los conceptos y un 3,8% los
tienen presentes de cara a la gestión del negocio aunque señalen que no los conocen en
profundidad.
Gráfico 19: Empresas familiarizadas con conceptos de continuidad de negocio (%)
6,0%
12,5%
3,8%
33,0%
61,0%
16,7%
No
NS/NC
Sí, absolutamente
Sí, están presentes de cara a la gestión del negocio aunque no los conozco en profundidad
Tan solo vagamente, he oído hablar de ello ocasionalmente
Una valoración más exhaustiva de las definiciones de los términos PCN y PRD recogidas
durante el estudio, permite concluir que, del porcentaje de PYME que inicialmente declara
estar familiarizadas con dichos términos (33%), un 21,7% conoce realmente la diferencia,
frente a un 13,9% que afirma no conocerla o tiene una percepción errónea del significado.
Gráfico 20: Empresas que tienen un conocimiento real de la diferencia entre Plan de
Continuidad de Negocio y Plan de Recuperación ante Desastres (%)
21,7%
13,9%
64,4%
Sí No NS/NC
Base: PYME que afirman que los conceptos relacionados con la gestión de planes de continuidad de negocio
y planes de recuperación ante desastres le son conocidos (n=151) Fuente: INTECO
Estos niveles de conocimiento y formación en la materia son indicadores que pueden ser
comparados con los obtenidos en otros estudios a nivel internacional y que reflejan
menor interés y sensibilidad en la PYME española por los aspectos relacionados con la
continuidad de negocio.
En este sentido, se detallan a continuación algunos ejemplos (el primero de ellos es

quizás el más llamativo, por ser publicado ya en 2005 y en el que a pesar de su
antigüedad ya se indicaba que las empresas participantes distinguían entre Plan de
Continuidad de Negocio y Plan de Recuperación ante Desastres):
• Business Continuity Research 26 : una de las conclusiones del presente informe

establece que las diferencias entre Plan de Continuidad de Negocio y Plan de
Recuperación ante Desastres están claramente identificadas y han dejado de ser
consideradas sinónimas. Este incremento en el nivel de conocimiento con respecto a
lo observado en el presente estudio, se puede asociar a la mayor participación en la
26
Op. cit. 2
encuesta de la industria financiera (34%) y de empresas que poseían más de 50
empleados.
• La ya citada publicación CISO Must Take The Lead On Business Resiliency 27 :

establece niveles crecientes de concienciación y preocupación por parte de clientes,
socios, inversores y reguladores que en definitiva elevan las demandas de estrategias
de continuidad por parte de las empresas.
• Inquiry Insights: Business Continuity 28 : afirma que el volumen de consultas realizadas

por las compañías en relación a la continuidad de negocio aumenta año tras año,
liderando las mismas las relativas a marcos de referencia, estándares y buenas
prácticas (33%).
A la hora de estudiar estos niveles de conocimiento por parte de la PYME, se ha dividido

a las empresas participantes en dos tamaños: aquellas que tienen menos de 10
empleados (microempresas), y las que poseen de 10 a 49 empleados (ver Tabla 9). La
conclusión de este estudio estratificado por tamaño no arroja diferencias significativas y
del mismo se desprende grados de desconocimiento similares en relación con los
aspectos de continuidad de negocio, siendo las empresas de mayor tamaño aquellas
que, por lo general, muestran un conocimiento ligeramente más profundo en la materia.
Tabla 9: Empresas familiarizadas con conceptos de continuidad de negocio en función de

su tamaño (%)
Tamaño Sí, aunque

Sí, Tan solo
(número de no en No NS/NC
absolutamente vagamente
empleados) profundidad
Menos de 10
12,0% 2,0% 16,0% 63,0% 7,0%
empleados
De 10 a 49
15,0% 15,0% 20,0% 50,0% 0,0%
empleados
TOTAL 12,5% 4,2% 16,7% 60,8% 5,8%
Si a continuación se estratifica por industria, resalta que los sectores de actividad que
presentan mayores nociones y conocimientos de continuidad de negocio son las
empresas de actividades profesionales, científicas y técnicas (31,8%) y las dedicadas a la
actividad tecnológica (18,2%) (Ver Tabla 10).
27
Op. cit. 15
28
Forrester Research (2008): Inquiry Insights: Business Continuity. Publicado en el tercer trimestre de 2008. Disponible
previo registro en: http://www.forrester.com/rb/Research/inquiry_insights_business_continuity,_q3_2008/q/id/47152/t/2
su sector de actividad (%)
Sí, aunque
Sí, Tan solo
Grupo de actividad no en No NS/NC
absolutamente vagamente
profundidad
Actividades
Profesionales, 31,8% 0,0% 9,1% 54,5% 4,5%
Otros sectores 25,0% 0,0% 0,0% 50,0% 25,0%
Tecnología de la
Información y 18,2% 9,1% 9,1% 63,6% 0,0%
Comunicación
Transporte y
11,1% 0,0% 11,1% 77,8% 0,0%
Almacenamiento
Suministros + 8,3% 8,3% 8,3% 75,0% 0,0%
Pesca
Reparaciones + 6,3% 3,1% 12,5% 65,6% 12,5%
y Seguros + Actividades 0,0% 11,1% 44,4% 44,4% 0,0%
Inmobiliarias
Construcción 0,0% 0,0% 50,0% 50,0% 0,0%
Sanitarias y de Servicios 0,0% 0,0% 12,5% 75,0% 12,5%
Sociales
TOTAL 11,8% 3,4% 16,8% 62,2% 5,9%
Siguiendo con la Tabla 10, resulta destacable que prácticamente 3 de cada 4 empresas
del sector de educación, actividades sanitarias o servicios sociales desconocen
absolutamente cualquier aspecto relacionado con continuidad de negocio.
En línea con lo indicado, se ha estudiado sobre las PYME participantes el grado de

entendimiento de las posibles situaciones que pueden conducir a una interrupción de sus
operaciones de negocio y que se mencionan a continuación de menor a mayor criticidad:
incidencia, problema, emergencia y crisis (ver Gráfico 21).
Gráfico 21: Grado de conocimiento en relación con los conceptos de continuidad de
negocio
Incidencia 17,5% 5,1%

0,4% 28,7% 48,2%
Problema 13,3% 2,9%6,1% 31,2% 46,5%
Emergencia 10,2% 1,5%8,7% 31,5% 48,2%
Crisis 7,6% 3,9% 7,2% 34,6% 46,7%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Situación definida y gestionada
Situación definida pero no gestionada
Entiende la situación pero no hay planes para su gestión
No definida gestión para estas situaciones por no entenderlas ni distinguirlas
NS/NC
Así pues, un alto porcentaje de empresas (superior al 28% en todos los casos) no
entiende ni distingue entre las situaciones de crisis, emergencia, problema e incidencias,
lo cual refuerza de nuevo, el bajo conocimiento que poseen las PYME sobre conceptos
relacionados con la continuidad de negocio.
También es posible apreciar que aspectos más propios de la operativa diaria de las
PYME españolas como “incidencia” o “problema”, aunque puedan no ser relacionados
directamente con la continuidad de sus actividades de negocio, están más presentes,
definidos y gestionados. En contraposición, otros conceptos relacionados con sucesos
más críticos como “emergencia” o “crisis”, y más cercanos a la posible activación de un
plan de respuesta, son en general menos considerados entre las empresas participantes.
Los niveles de desconocimiento representan una de las principales barreras a la hora de

difundir la criticidad de abordar cualquier iniciativa de continuidad de negocio, ya que la
cuestión no solo estriba en que la empresa no sepa por dónde empezar o qué hacer al
respecto, sino que también puede no ser consciente de que continuamente está expuesta
a riesgos de diversa índole que, de no ser afrontados de forma conveniente, pueden
conducir a la detención total o parcial de sus operaciones.
A medida que aumenta la percepción de riesgo, los gerentes y directivos de las empresas
cada vez asumen más responsabilidad en lo que respecta a las estrategias para la
disponibilidad de sus operaciones de negocio.
Además de mostrar la situación actual de la PYME española en cuanto a la adopción de
planes de continuidad de negocio, el estudio en su origen tiene la intención de promover
entre las empresas una cultura de seguridad desde el punto de vista de la capacidad de
los procesos de negocio a permanecer activos e incluso recuperarse en el menor tiempo
posible en caso de padecer una contingencia grave.
Aparte del coste en sí, uno de los mayores inconvenientes a los que se enfrentan las
empresas cuando tienen que definir y desarrollar medidas o planes de continuidad de
negocio es tomar conciencia de la necesidad de las mismas. ¿Cómo sería posible
superar este escollo? Una propuesta para vencer este obstáculo consiste en que la
empresa se plantee durante cuánto tiempo puede sobrevivir sin aplicaciones, sin datos,
sin Internet o sin instalaciones. Si la respuesta a dicha cuestión concluye que se debe
analizar cómo responder a estas situaciones, probablemente esté comenzando a
incrementar sus niveles de concienciación al respecto.
5 ANÁLISIS DE LOS NIVELES DE ADOPCIÓN DE
MEDIDAS O PLANES DE CONTINUIDAD DE
NEGOCIO EN LA PYME ESPAÑOLA
Tal y como se acaba de ver en el epígrafe anterior, las PYME españolas se caracterizan
en materia de continuidad de negocio por su desconocimiento casi general sobre qué es
la continuidad de negocio y cuál es realmente la importancia que ésta tiene en el día a
día de sus operaciones. Esto hace intuir que en España las previsiones para
salvaguardar los negocios son mínimas ya que, de una forma u otra, no termina de estar
claro qué es, cómo se hace y para qué sirve un plan de continuidad de negocio.
La gestión de la continuidad de negocio debiera formar parte de los procesos integrales

de gestión de riesgos de las empresas, ya que de forma periódica algunos desastres
vienen a recordar la necesidad de asegurar los recursos críticos en el funcionamiento de
una empresa.
Si bien es improbable que la empresa padezca las consecuencias de una catástrofe, es

menos remota la posibilidad de sufrir pequeñas incidencias que de no ser resueltas
ágilmente pueden desencadenar en un gran problema. Así, son muchos los pequeños
trastornos que son capaces de dañar las actividades de las empresas: la caída de la
corriente eléctrica o de las comunicaciones con el exterior, la pérdida o el robo de un
ordenador, la paralización de los servicios por parte de los proveedores más críticos, etc.
Por todo ello, es fundamental contar con un sistema que garantice la resistencia de las
operaciones de negocio ante cualquier eventualidad independientemente del tamaño de
la empresa.
El presente apartado pone de manifiesto los principales resultados obtenidos a raíz de

analizar sobre las PYME participantes las iniciativas efectuadas en materia de
continuidad de negocio y el grado de implantación de las mismas. En concreto:
• Nivel de implantación de las estrategias de continuidad de negocio tanto en la

actualidad como en un futuro inmediato.
• Análisis detallado de las medidas preventivas y de respuesta que componen toda

estrategia de disponibilidad de los productos y servicios de las empresas.
• Estudio de la necesidad de asesoramiento externo por parte de aquellas PYME que

han hecho efectivas tales estrategias.
5.1 Empresas que han definido o tienen previsto definir algún tipo de estrategia,
plan o procedimiento que les permita recuperar su actividad ante un desastre
Esto también se refleja en el hecho de que del total de empresas participantes en el

estudio, el 57,3% de las mismas afirme no disponer de ninguna estrategia, plan o
procedimiento que ante una situación de emergencia les permita recuperar sus procesos
de negocio en el menor tiempo posible (Gráfico 22).
Entre las que han indicado que sí han puesto en marcha alguna estrategia, el 16,7% se
está refiriendo a la adopción de planes de continuidad de negocio (el cual contempla la
totalidad de recursos que componen las operaciones de negocio) y el 21,7% sólo dispone
de mecanismos que le permiten recuperar el entorno tecnológico que mantiene dichas
operaciones de negocio (sistemas, aplicaciones, bases de datos, comunicaciones, etc.).
Gráfico 22: Empresas que cuentan con alguna estrategia de continuidad de negocio (%)
4,3%
16,7%
38,4%
57,3%
21,7%
No NS/NC Sí, elaborada e implantada Sí, aunque solo permite recuperar el entorno tecnólogico
Si se presentan los resultados obtenidos en función del tamaño de la empresa

participante, la probabilidad de que las pequeñas empresas adopten tales estrategias es
mayor que en las microempresas (ver Tabla 11).
Tabla 11: Empresas que cuentan con alguna estrategia de continuidad de negocio en
función de su tamaño (%)
Tamaño Sí, aunque solo

Sí, elaborada
(número de permite recuperar el No NS/NC
e implantada
empleados) entorno tecnológico
Menos de 10
14,9% 20,8% 59,4% 5,0%
empleados
De 10 a 49
25,0% 25,0% 45,0% 5,0%
empleados
TOTAL 16,5% 21,5% 57,0% 5,0%
Es decir, cuanto más grande sea la empresa, mayor es la probabilidad de que disponga
de algún tipo de estrategia de continuidad.
Esta afirmación está alineada con otras conclusiones publicadas en otros estudios
internacionales como el de Forrester Research titulado Business Take BC Planning More
Seriously 29 , en el que colaboran 295 sociedades con la siguiente distribución por tamaño:
33% de empresas de 1 a 999 empleados, 27% de empresas de 1.000 a 4.999
empleados, 17% de empresas de 5.000 a 19.999 empleados y 21% de empresas con
más de 20.000 empleados. Las empresas participantes son de mayor tamaño que las del
presente estudio y sobre ellas los niveles de implantación de planes de continuidad de
negocio rondan el 77%.
Hasta el momento, del análisis del presente estudio y de otros informes ya citados se
desprende que las empresas grandes están mejor preparadas que las de menor tamaño
a la hora de tener que mantener las operaciones afectadas por una contingencia grave.
¿Será debida esta afirmación a que la PYME percibe erróneamente que disponer de un
plan de continuidad de negocio no es tan crítico como lo pudiera ser en las grandes
compañías?:
Según el Gráfico 23, casi 9 de cada 10 empresas participantes establecen que el hecho
de estar preparadas para encarar y resolver situaciones graves con impacto en sus
negocios es igual de crítico que en las grandes empresas.
29
Op. cit. 13
Gráfico 23: Empresas que consideran que estar preparadas frente a posibles contingencias
es igual de crítico que en las grandes compañías (%)
Sí, aunque el alcance y las medidas preventivas a

47,2%
implantar son más simples
Sí, ya que tiene las mismas necesidades que una

empresa grande para asegurar la continuidad de sus 38,1%
operaciones
No, una PYME no necesita tener los niveles de

preparación que tienen las grandes empresas para 11,9%
hacer frente a una contingencia grave
NS/NC 2,8%
0% 20% 40% 60% 80% 100%
Por otro lado, en cuanto a los niveles de adopción de estrategias de continuidad de

negocio en función de los sectores de actividad, es posible señalar 3 aspectos (ver Tabla
12):
• El sector con mayor índice de implantación de planes de continuidad de negocio es el

relacionado con actividades profesionales, científicas y técnicas (31,8%).
• En relación a los planes para la recuperación del entorno tecnológico (Planes de

Recuperación ante Desastres), son las PYME del sector de actividades financieras las
que presentan los mejores ratios de implementación (50%).
• Prácticamente 3 de cada 4 empresas del sector de educación, actividades sanitarias y

servicios sociales no disponen ni de planes de continuidad de negocio ni de planes de
recuperación ante desastres.
Tabla 12: Empresas que cuentan con alguna estrategia de continuidad en función de su
sector de actividad (%)
Sí, aunque solo

Sí, elaborada e permite recuperar
Grupo de actividad No NS/NC
implantada el entorno
tecnológico
Otros sectores 50,0% 0,0% 50,0 0,0%
Actividades
Profesionales, Científicas 31,8% 9,1% 59,1% 0,0%
y Técnicas
Transporte y
22,2% 11,1% 66,7% 0,0%
Almacenamiento
Tecnología de la
Información y 16,7% 41,7% 33,3% 8,3%
Comunicación
Construcción 15,4% 30,8% 53,8% 0,0%
y Seguros + Actividades 12,5% 50,0% 25,0% 12,5%
Inmobiliarias
Reparaciones + 9,4% 25,0% 62,5% 3,1%
Suministros + 8,3% 16,7% 66,7% 8,3%
Pesca
Sanitarias y de Servicios 0,0% 0,0% 87,5% 12,5%
Sociales
TOTAL 16,7% 21,7% 57,5% 4,2%
El análisis de los motivos por el que las PYME alegan no disponer de medidas de
continuidad de negocio permite extraer algunas conclusiones (ver Gráfico 24):
• Aproximadamente la mitad de las pequeñas y microempresas españolas carecen de

la sensibilización, formación y concienciación necesaria para considerar la criticidad
de que sus compañías dispongan de medidas de respuesta frente a situaciones de
contingencia grave. A su juicio estas situaciones tienen una probabilidad tan baja de
ocurrencia que no compensa invertir en tales medidas y prefieren asumir el riesgo
(19,1%). Otro 14,2% indica que es un gasto innecesario teniendo en cuenta el coste
de su implantación.
En definitiva, tienen una percepción errónea de los riesgos/amenazas que pueden

estar padeciendo y de que la probabilidad de que acontezca una contingencia que, de
no ser atajada a tiempo, puede convertirse en grave.
Confirmando esta percepción errónea, la publicación CISOs must take the lead on
business resiliency 30 señala que progresivamente las sensaciones que tienen las
empresas acerca de las amenazas reales que pueden impactar en la continuidad de
las actividades de negocio están cambiando de forma que la tendencia de las
empresas entrevistadas empieza a poner la vista en amenazas más comunes como
caídas del suministro eléctrico o de las conexiones a Internet, fallo en los sistemas de
información o errores humanos. Estas amenazas, de no ser contrarrestadas a tiempo,
pueden derivar en una interrupción de la actividad.
• Falta de fondos y recursos presupuestarios para cubrir las medidas necesarias

(15,1%). En línea con este indicador, el estudio 2010 Global Security Report 31
muestra que la principal barrera a la gestión de la continuidad de negocio es la falta
de presupuesto suficiente (25% de las empresas consultadas a nivel mundial).
Gráfico 24: Razones por las que las empresas no implementan planes de continuidad
Considero muy reducida la posibilidad de que ocurra

19,1%
una crisis/desastre
No dispongo de personal capacitado ni del tiempo
16,7%
necesario
Presupuesto insuficiente 15,1%
Es un gasto innecesario teniendo en cuenta el coste
14,2%
de implantación
Tengo otras debilidades de seguridad que son más
7,7%
prioritarias
Falta de apoyo por parte de la empresa (del negocio,
1,2%
de la dirección o de los propios empleados)
Falta de apoyo por parte de las líneas de negocio 0,2%
Falta de visibilidad y liderazgo dentro de la
0,1%
organización
Otros 10,0%
NS/NC 12,5%
0% 20% 40% 60% 80% 100%
Base: PYME que no disponen de estrategia (n=201) Fuente: INTECO
Adicionalmente, resulta necesario destacar que el 87% de las empresas participantes en

el estudio no tienen pensado abordar en los próximos 6 meses ninguna estrategia o
proceso orientado a facilitar la continuidad de sus actividades de negocio en caso de
desastre (ver Gráfico 25).
30
Op. cit. 15
31
Deloitte (2010): 2010 Global Security Report en el que han participado empresas de diferentes tamaño. El 16% de las
compañías participantes tenía menos de 500 empleados en el momento de la realización de la encuesta.
Gráfico 25: Empresas que prevén implantar medidas de continuidad de negocio en los
próximos 6 meses
5,4% 7,7%
87,0%
Sí No NS/NC
El análisis internacional sobre el nivel de implantación de las estrategias de continuidad

de negocio permite comprobar que es mayor que en España. En este sentido, existen
diferentes estudios que validan esta conclusión, aunque en cierta medida es más lógico
teniendo en cuenta que se realizan sobre empresas de más de 50 empleados. Aún así
sorprende el hecho de que ya en 2005, el 70% de las compañías participantes en el
estudio Business Continuity Research 32 disponían de un plan de continuidad de negocio.
Este porcentaje es incluso mayor (80%) si se realiza el análisis exclusivamente sobre
compañías financieras, entidades sometidas a estrictas directivas que exigen la
implantación de planes de continuidad de negocio con carácter obligatorio (Ley
Sarbanes-Oxley 33 , MiFID 34 ).
Uno de los aspectos críticos que deben ser tenidos en cuenta por las organizaciones que
deciden adoptar una estrategia de continuidad es la identificación y selección del alcance.
Este alcance, aparte de estar sujeto a posibles limitaciones presupuestarias, debe tener
presente las actividades de negocio críticas que, de interrumpirse, pueden llegar a
suponer pérdidas graves para la continuidad de la empresa.
32
Op. cit. 2
33
Ley Sarbanes-Oxley (SOX): Ley impulsada por el gobierno norteamericano para impedir los fraudes financieros
34
MiFID (Markets in Financial Instruments Directive): Directiva europea que establece un régimen regulador para los
mercados financieros de la Unión Europea
Por ello, y entendido como un dato que denota cierto sentido común en el desarrollo de
procedimientos de respuesta ante contingencias graves, se llega a establecer que casi 8
de cada 10 empresas (del 38,4% que han afirmado contar con algún tipo de estrategia de
continuidad, ya sea a nivel de sus procesos de negocio o a nivel de los sistemas
tecnológicos que soportan los mismos) han acotado y decretado el alcance de sus
estrategia de continuidad.
Gráfico 26: Empresas que establecen el alcance dentro de su estrategia de continuidad (%)
13,3%
11,0%
75,8%
Sí No NS/NC
Base: PYME que disponen de estrategia (n=199) Fuente: INTECO
Por último, es evidente que el diseño e implementación de una estrategia o plan de

continuidad conlleva la asignación de unos recursos que han de permitir su puesta en
marcha, entre ellos personal interno o externo dedicado. También es lícito pensar que
cuanto más grande sea la organización mayor es el volumen de recursos (humanos,
económicos, tecnológicos) que es necesario destinar a la gestión de la continuidad.
En cuanto a pequeñas y microempresas participantes en el estudio que disponen de

programas de continuidad de negocio, el 33,9% de los que han contestado afirman
dedicar una persona a diseñar, elaborar e implantar tales programas (ver Gráfico 27).
Otro 40,8% indica que el número de personas dedicadas a tal actividad oscila entre 1 y 3
personas.
Gráfico 27: Personal dedicado a la gestión de la continuidad de negocio (%)
7,8%
17,5% 33,9%
40,8%
1 persona Entre 1 y 3 personas Más de 3 personas NS/NC
Resultados semejantes se obtienen del análisis del estudio 2010 Global Security Study 35 ,
realizado a nivel mundial sobre empresas de mayor tamaño, que establece que el 44%
de las mismas destinan de 1 a 5 personas 36 a la mencionada gestión. Esta similitud con
la gran empresa puede resultar confusa, ya que se podría llegar a interpretar
erróneamente que el volumen de recursos humanos y/o responsables de continuidad es
independiente del tamaño de las organizaciones.
Pero al profundizar en el análisis comparativo de la PYME con la gran empresa con

respecto al volumen de personal empleado en aspectos de continuidad (aspecto que se
desarrolla más en detalle en el epígrafe 6), se detallan a continuación varios aspectos
que permiten intuir una diferenciación:
• Algunos estudios internacionales, como el ya citado 2010 Global Security Study, se

refieren a personal que dedica el 100% de su jornada laboral a la realización de
tareas de continuidad. En contraposición, el presente estudio no garantiza que dicho
personal invierta la totalidad de su tiempo a este tipo de funciones.
• Relacionado con el apartado anterior, cuanto menor es el tamaño de la compañía,

menor es la probabilidad de que disponga de personal dedicado a tiempo completo a
la gestión de la continuidad. De hecho, la publicación More Businesses Now
35
Op. cit. 31.
36
Personas dedicadas a tiempo completo a la gestión de la continuidad y que por tanto sus únicas funciones y
responsabilidades son las relacionadas con la gestión de la continuidad de negocio. Es inglés es común referirse a este
tipo de recursos como Full Time Equivalents (FTE).
Institutionalize Business Continuity Management 37 , aparte de indicar que
antiguamente las compañías gestionaban sus programas de continuidad
informalmente y asignando tareas a figuras con otras responsabilidades, concluye
que la figura del director de continuidad de negocio está más implantada en grandes
(66%) que en pequeñas y medianas empresas (48%), así como el número de
personal dedicado a tiempo completo a la gestión de continuidad es mayor en
grandes empresas.
• En la línea de lo tratado, el estudio CISOs Must Take The Lead On Business

Resiliency 38 determina que la media de responsables de programas de continuidad
en grandes empresas oscila entre 3 y 4 personas, mientras que en las más pequeñas
se establece de media un responsable y dedicaciones parciales del personal de
tecnologías de la información.
5.2 La importancia de disponer de medidas y la complejidad de gestionar los

gastos necesarios en materia de continuidad de negocio
Al conjunto de empresas que afirman disponer o que tienen la intención a corto-medio

plazo de impulsar medidas destinadas a afianzar la continuidad de sus actividades, se les
ha preguntado acerca de cuáles han sido los principales incentivos o elementos
impulsores (ver Gráfico 28).
De entre las diferentes respuestas aportadas por el colectivo participante, es reseñable

que prácticamente la gran parte de ellas (73,1%) consideran que garantizar la
disponibilidad de las operaciones de negocio en caso de crisis es el motivo más
importante que les ha llevado a la adopción de medidas de continuidad. En segundo
lugar, más de la mitad de las PYME participantes establecen que otros estímulos
bastante o muy importantes son los relacionados con la protección de su imagen pública
(70,8%) y la ventaja competitiva frente a otros competidores (54,5% así lo afirman).
Esto último refuerza la conclusión de que, cada vez más, las PYME son conscientes no
sólo de las pérdidas económicas directas derivadas de una interrupción inesperada, sino
también del impacto adicional que podría causar en su imagen u otras repercusiones
indirectas asociadas (falta de confianza o pérdida de clientes, falta de competitividad con
respecto a otras empresas del sector, etc.).
Como dato quizás más anecdótico, y a pesar del impacto mediático que provocó en su
momento y a nivel mundial el virus denominado H1N1 o comúnmente conocido por Gripe
A, el 86,6% de las pequeñas y microempresas españolas participantes en el estudio
37
Forrester Research (2009): More Businesses Now Institutionalize Business Continuity Management. Disponible en:
http://www.forrester.com/rb/Research/more_businesses_now_institutionalize_business_continuity_management/q/id/46481/
t/2
38
Op. cit. 15
restan importancia a que uno de los motivos que deben llevar a las compañías a adoptar
medidas de continuidad de negocio sea el que consiste en dar respuesta a posibles
pandemias.
Siguiendo con el análisis de incentivos que motivan la adopción de estrategias de

continuidad, y en comparación con otros estudios internacionales, se pone de manifiesto
la ausencia en España de regulaciones o requerimientos legales aplicables a todos los
sectores de actividad y que fuerzan a las empresas a implantar planes de recuperación
de sus actividades como respuesta a situaciones de crisis. Así, como consecuencia de
esta ausencia, la PYME española no tiene la costumbre ni considera muy importante
desarrollar planes de continuidad de negocio con el objetivo de cumplir con exigencias o
normativas legales, simplemente porque éstas no existen.
Sin embargo, si se amplía la vista del estudio y se pone el foco de atención en empresas
de otros países, la situación varía. Así se muestra en el ya mencionado 2010 Global
Security Study 39 , el cual concluye que el cumplimiento regulatorio ocupa el segundo lugar
(32%) entre los principales estímulos que llevan a las empresas a la implantación de
planes de continuidad de negocio.
Gráfico 28: Principales estímulos para implantar planes de continuidad de negocio
Garantizar la disponibilidad de las operaciones de

2,7%5,6% 13,9% 73,1%
negocio en caso de crisis 4,7%
Reputación y protección de la imagen pública de la
10,6% 9,2% 9,3% 29,7% 41,1%
empresa
Ventaja competitiva frente a otros competidores del
23,6% 14,5% 7,4% 23,1% 31,4%
mercado
Requerimientos del cliente 13,5% 14,5% 13,8% 28,3% 30,0%
Como respuesta a un requerimiento de auditoría

35,1% 8,3% 14,5% 15,2% 26,9%
interna/externa
Cumplimiento de requerimientos regulatorios/legales 10,7% 20,6% 16,3% 26,6% 25,8%
Alinearse con los principales estándares de la industria

17,4% 23,1% 15,5% 26,3% 17,8%
de seguridad
Anteriores interrupciones en las operaciones de
26,8% 16,2% 19,9% 22,2% 14,8%
negocio
En respuesta a posibles pandemias (gripe A) 57,7% 28,9% 1,0%
3,5% 8,9%
Otros 2,6% 23,3% 2,4%11,8% 59,9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
(1) Nada importante (2) Poco importante (3) Importante (4) Bastante Importante (5) Muy importante
En contrapartida con los incentivos que las empresas tienen a la hora de implantar las
estrategias/planes y/o procedimientos, éstas han de prever otros componentes que son
39
Op. cit. 31.
necesarios gestionar y que en definitiva constituyen un gasto que termina siendo
recurrente en caso de que se decida mantener y actualizar dichos planes.
Esta variabilidad de componentes convierten en compleja la tarea de establecer una

tendencia común en cuanto al gasto de las compañías en aspectos de continuidad.
Dentro de aquellas PYME que han emprendido algún tipo de iniciativa destinada a
afianzar sus procesos de negocio, quizás puede llegar a resaltarse que la mayoría de los
gastos son los destinados a la contratación de asesoramiento externo especializado
(39,9% destinan entre 1.500 y 15.000 €), la contratación de seguros de cobertura de
daños materiales (35,0% invierten entre 1.500 y 15.000 €), y los acuerdos con terceros
(32,2% destinan entre 1.500 y 15.000 €).
Gráfico 29: Componentes de continuidad de negocio en los que las PYME centran el gasto
Elaboración y establecimiento de procedimientos (n=25) 84,5% 9,4%5,4%

0,7%
Conocer los procesos de negocio de la empresa (n=28) 77,4% 11,4%
1,0%
10,1%
Probar las medidas que garantizan la continuidad (n=41) 73,3% 22,5% 4,2%
0,0%
Conocimiento y formación de los recursos (n=63) 57,9% 26,5% 14,0%1,5%
Diseño y elaboración del proyecto de continuidad (n=34) 56,3% 32,6% 3,9%
7,2%
Acuerdos con terceros (n=31) 35,9% 31,4% 32,2% 0,5%
Contratar un seguro (n=64) 36,8% 17,6% 35,0% 10,6%
Auditoría de las medidas que garantizan la continuidad (n=38) 30,1% 53,2% 16,7%0,0%
Adquisición/alquiler centro de respaldo alternativo (n=35) 23,0% 46,7% 26,5% 3,8%
Adquisición de SW/HW (n=41) 21,1% 55,5% 18,8% 4,5%
Asesoramiento externo (n=82) 19,8% 39,8% 39,9% 0,5%
Ningun componente (n=42) 4,6% 51,2% 4,6% 39,6%
Otros (n=13) 69,6% 28,5% 1,0%
0,9%
0% 20% 40% 60% 80% 100%
Gasto asumido en el día a día Menos de 1.500 € Entre 1.501 y 15.000 € Más de 15.000€
Otras partidas de gastos que mayormente son asumidas en la actividad diaria de las
compañías y que por tanto no hay para ellas una asignación presupuestaria concreta, son
las relacionadas con la elaboración y establecimiento del conjunto de documentos y
procedimientos que componen el plan (84,5%), el conocimiento de los procesos de
negocio (77,4%), o la realización de pruebas de eficacia de las medidas de continuidad
(73,3%).
Uno de los mayores desafíos a las que se enfrentan las compañías que implantan planes
de continuidad de negocio consiste en medir periódicamente la eficacia y el rendimiento
de los mismos. El hecho de contar con unas medidas definidas para la recuperación de
las actividades de negocio en caso de crisis, no garantiza que el funcionamiento o la
eficacia de las mismas sea la esperada. Por ello, las organizaciones deben contar con
indicadores o baremos que les permitan valorar el rendimiento y el nivel de adecuación
de las medidas diseñadas.
Una de las recomendaciones emitidas por el estándar de continuidad de negocio BS

25999:2006 40 establece la necesidad de probar periódicamente estos planes. Solo de
esta forma permanecerán actualizados y alineados a las necesidades de disponibilidad
de los procesos de negocio más críticos.
En este sentido la realización de pruebas periódicas es uno de los métodos más

explotados a la hora de medir la efectividad y el rendimiento de las iniciativas de
continuidad. El 54,8% de las PYME españolas que han implantado planes de continuidad
de negocio realizan dichas pruebas:
Gráfico 30: Mecanismos utilizados por las PYME para medir la eficacia de las medidas de
continuidad
Mediante la realización de pruebas periódicas 54,8%
A través de auditorías 21,7%
A través de la definición y medida de indicadores

11,5%
(métricas)
En comparación con los estándares del mercado

6,6%
en materia de continuidad
Otros 1,9%
NS/NC 15,1%
0% 20% 40% 60% 80% 100%
Otro dato interesante para valorar la situación actual de aquellas PYME que han
implantado algún plan de recuperación es la variación que han sufrido sus inversiones en
materia de continuidad con respecto a años anteriores.
Tal y como se muestra en el Gráfico 31, el 52,0% de las sociedades encuestadas que
afirman haber implantado medidas de continuidad, han disminuido ligeramente el gasto y,
40
BS 25999:2006 - (British Standard en inglés) primera norma británica para la gestión de continuidad de negocio.
Desarrollada por un amplio grupo de expertos representativos de sectores de la industria y la administración. Proporciona
la base para comprender, desarrollar e implantar la continuidad de negocio en una organización
a pesar de la coyuntura económica actual en el momento de realización de la encuesta,
el 36,9% de las instituciones encuestadas lo han mantenido o incluso incrementado.
Gráfico 31: Tendencia del gasto incurrido en las medidas de continuidad de negocio
Se ha incrementado
10,2%
sustancialmente
Se ha incrementado
13,5%
ligeramente
Se ha mantenido 13,2%
Se ha reducido
52,0%
ligeramente
Se ha reducido
5,0%
sustacialmente
NS/NC 6,2%
0% 20% 40% 60% 80% 100%
Este hecho es significativo, ya que demuestra la constancia y la intención de aplicar una

metodología de mantenimiento y mejora continua por parte de aquellas PYME más
proactivas en el desarrollo de acciones de continuidad. Al mismo tiempo, estos datos son
indicadores de que, tras la inversión inicial necesaria para el diseño e implantación de
una estrategia de continuidad, con mayor frecuencia el esfuerzo económico de las
empresas se trata de mantener.
Independientemente de su evolución en los últimos años, puede que el gasto destinado a

los diferentes componentes de un plan de continuidad no se ajuste a las necesidades o a
los requerimientos de las organizaciones. En el Gráfico 32 se muestra la percepción de
las propias compañías participantes en cuanto al nivel de adecuación de las inversiones
destinadas en el 2010 a servicios de continuidad.
El 72,0% de los participantes establecen que el gasto es el adecuado a sus necesidades,

mientras que un 15,2% considera que el presupuesto es todavía inferior a lo necesario,
hecho que, de nuevo es posible atribuir al recorte de presupuestos que actualmente
están aplicando las organizaciones.
Gráfico 32: Percepción de las PYME del nivel de adecuación del gasto destinado en 2010 a
la continuidad de sus operaciones
100%
80%
72,0%
60%
40%
20% 15,2%
11,7%
1,1%
0%
Bajo Adecuado Superior al necesario NS/NC
5.3 Necesidad de asesoramiento externo para la adopción de la estrategia de

continuidad de negocio
Otra de las cuestiones que con frecuencia se plantea una empresa cuando tiene que
definir un plan o una estrategia de continuidad de negocio es si debe abordarse
internamente o, dada su complejidad o grado de desconocimiento, desarrollarlo con el
apoyo y la colaboración de soporte externo.
Derivado del estudio, se debe tener en cuenta que la mayor parte de las empresas
participantes no disponen de los conocimientos y la experiencia necesaria para abordar
procesos de estas características, así como la objetividad e independencia para
identificar los recursos y procesos críticos de la compañía.
De esta forma, casi la mitad de las PYME (el 44,4%) que han emprendido programas de
continuidad de negocio han requerido de asesoramiento externo (ver Gráfico 33).
Por otro lado, el 49,2% disponen de sus propios medios técnicos, de conocimiento, etc.,
para poder abordar con éxito las acciones de respuesta a aplicar ante una interrupción
del servicio.
Gráfico 33: Empresas que han requerido asesoramiento externo para abordar programas de
continuidad de negocio (%)
6,4%
44,4%
49,2%
Sí No NS/NC
¿Por qué han necesitado tal asesoramiento? Las respuestas obtenidas indicaron en el
momento de realización de la encuesta que dicha demanda es debida a la necesidad de
contar con la experiencia y el conocimiento especializado del asesor (11,3%) y al
desconocimiento para abordar los proyectos de implantación de planes de continuidad de
negocio (5,6%) (Ver Gráfico 34).
Gráfico 34: Motivos que inducen a las PYME a demandar asesoramiento externo en
aspectos de continuidad
Experiencia y conocimiento especializado del asesor 11,3%
Desconocimiento para abordar el proyecto 5,6%
Complejidad para abordar el proyecto 3,5%
Falta de recursos humanos 0,7%
Otros 0,1%
NS/NC 1,8%
0% 20% 40% 60% 80% 100%
Base: PYME que demandan asesoramiento externo (n=109) Fuente: INTECO
Como se ha detallado anteriormente, la adopción de planes o en términos generales

programas de continuidad de negocio consta de multitud de componentes que en última
instancia pueden convertirse en servicios proporcionados por proveedores expertos.
Los principales servicios solicitados a estos proveedores en materia de continuidad de

negocio, tal y como muestra el Gráfico 35, son los servicios de consultoría para poner en
marcha planes en esta materia (8,6%), la gestión de copias de seguridad (3,2%, tanto
desde el punto de vista procedimental como desde el punto de vista de la adquisición de
software y hardware específico) y los servicios de certificación/auditoría o los centros de
respaldo (ambos con un 1,9%).
Gráfico 35: Principales servicios solicitados a terceros en materia de continuidad
Ejecución del proyecto para diseñar y poner en marcha

tales medidas (adopción de planes de continuidad de 8,6%
negocio-consultoría)
Gestión de copias de seguridad (procedimientos, hardware
3,2%
o software)
Centros de respaldo o centros alternativos de recuperación 1,9%
Servicios de auditoría/certificación 1,9%
Seguros de cobertura 1,0%
Establecimiento de acuerdos con terceros 0,2%
Otros 1,5%
NS/NC 3,4%
0% 20% 40% 60% 80% 100%
Base: PYME que demandan asesoramiento externo (n=109) Fuente: INTECO
6 ANÁLISIS COMPARATIVO DE LA SITUACIÓN DE LA
CONTINUIDAD EN LA EMPRESA ESPAÑOLA
SEGÚN SU TAMAÑO
Comparando los datos obtenidos del análisis de las 400 PYME españolas realizado en
este estudio con los del Barómetro de Empresas de Agosto de 2010 realizado por
Deloitte, en el que participaron 253 grandes empresas con una facturación conjunta que
supera el billón de euros y un total de más de un millón de empleados, es posible
establecer un análisis diferencial entre la PYME y la gran empresa española en el ámbito
de la continuidad de negocio.
En el gráfico 36 se trata de concluir si, en función del tamaño de la empresa, existe

alguna diferencia en relación a las incidencias de seguridad que con mayor frecuencia
derivan en una interrupción de las actividades de las empresas. En él se percibe que el
perfil de incidencias sufridas por las empresas es similar no solo en su tipología sino
también en su porcentaje de ocurrencia. Únicamente cabe resaltar que la gran empresa
padece un mayor número de caídas de sus sistemas y aplicaciones de negocio (20,9%
frente a 7,4% de la PYME), así como de sus sistemas de soporte (16,0% - 8,9%). Esta
situación puede llegar a explicarse a que cuanto mayor sea el tamaño de una empresa,
mayor es la probabilidad de que su entorno tecnológico sea más amplio, complejo y por
tanto más susceptible de sufrir caídas o interrupciones.
Por el contrario, un mayor porcentaje de las PYME considera haber sido objeto de más
fallos en los servicios facilitados por parte de los proveedores (16,3% frente al 6,1% de la
gran empresa).
Gráfico 36: Comparativa de incidencias de seguridad que afectan a la continuidad
56,7%
La entidad no ha sufrido ningún incidente 62,0%
7,4%
Caída de mis sistemas/aplicaciones 20,9%
8,9%
Caída de sistemas de soporte 16,0%
6,7%
Falta de servicio por parte de proveedores 16,3%
6,1%
Inundación, terremoto, incendio 3,6%
4,9%
4,4%
Multas, sanciones 3,7%
1,4%
Daño físico en instalaciones/equipos 2,5%
1,7%
Pérdida de datos de negocio críticos 1,2%
Baja de personal crítico 1,7%
2,5%
Otros 2,0%
3,7%
NS/NC 8,1%
0,0%
0% 20% 40% 60% 80% 100%

PYME Gran Empresa
Base: Total PYME (n=400) y gran empresa (n=253) Fuente: INTECO
Por tanto, se podría llegar a concluir que, en general, las incidencias de seguridad que se
producen al materializarse las amenazas son independientes del tamaño de las
empresas y, por ello, el plan para afrontar los riesgos es el mismo tanto en la gran
empresa como en la PYME.
Otro de los aspectos comparados está relacionado con el tiempo de indisponibilidad

permitido o asumible antes de que se produzcan pérdidas graves o, dicho de forma más
general, impactos severos (Gráfico 37). Las magnitudes son muy similares en cuanto al
porcentaje de empresas que no pueden permitirse una parálisis en sus actividades (el
35,8% de las PYME y el 34,5% en la gran empresa). Donde se aprecia una diferencia
más significativa es en el porcentaje de empresas cuyas actividades podrían estar
interrumpidas durante más de 5 días sin graves consecuencias: el 17,5% de la PYME
podrían permitirse este margen, frente a un escaso 7,7% de las grandes empresas. Esta
diferencia puede achacarse a que el impacto de una interrupción crece exponencialmente
cuanto mayor es el tamaño de la organización.
Gráfico 37: Comparativa de Tiempos Máximos de Interrupción permitidos
100%
80%
60%
40% 35,8%34,5%
25,8%
22,6%
20% 16,0% 16,0% 17,5%
11,7% 12,5%
7,7%
0%
Inmediatamente Más de 12 horas Más de 24 horas Más de 48 horas Más de 5 días
PYME Gran Empresa
El siguiente aspecto a tratar es clave a la hora de determinar la diferencia entre PYME y

gran empresa desde el punto de vista de la continuidad de negocio: en el gráfico 38 se
compara el grado de implantación de Planes de Continuidad de Negocio. La disposición
de más recursos humanos y económicos, la percepción más objetiva de los riesgos que
afrontan y el entendimiento de lo crítico que resulta disponer de estos planes hacen que
la gran empresa se sitúe en una posición bastante más avanzada y madura que la
PYME. De hecho, 8 de cada 10 grandes empresas contactadas a través del Barómetro
de Empresas (en concreto el 81,1%) afirman disponer de alguna estrategia, plan o
procedimiento de respuesta ante situaciones críticas de paralización. Por el contrario, tan
solo el 38,4% de la PYME indica que ha trabajado este tipo de iniciativas, lo que se
traduce en una asignatura pendiente.
Gráfico 38: Comparativa del grado de implantación de Planes de Continuidad de Negocio
100%
81,1%
80%
60% 57,3%
38,4%
40%
18,9%
20%
4,3%
0,0%
0%
Sí No NS/NC
PYME Gran Empresa
Adicionalmente, la madurez mostrada por la gran empresa en cuanto a la gestión de la

continuidad de negocio no solo se aprecia en los porcentajes de implantación. En este
sentido, también es posible analizar la evolución de la gran empresa en los últimos 5
años (que son los que distan del último Barómetro de Empresas elaborado por Deloitte
en el 2005 en el que también se trataron aspectos de continuidad de negocio y en el que
participaron 339 empresas) a través del Gráfico 39, en el que se observa de forma
general un incremento de los componentes que son considerados y gestionados en la
estrategia de continuidad:
Gráfico 39: Evolución de los componentes del Plan de Continuidad en la gran empresa
Telecomunicaciones de datos 52,7%

69,7%
Infraestructura de tecnología 51,5%

66,5%
Aplicaciones 64,5%
56,9%
Instalaciones/Edificios 39,3%
55,9%
Personal 42,7%
54,3%
Telecomunicaciones de voz 39,3%

47,9%
Líneas de actividad de negocio 52,3%

44,7%
Documentación papel 21,0%
37,8%
No aplica (actualmente no existe ninguno) 27,5%

15,4%
0% 20% 40% 60% 80% 100%
2005 2010
Base: Gran empresa 2010 (n=253) y Gran empresa (n=339) Fuente: INTECO
Como se puede apreciar, la presencia de los diferentes aspectos o elementos que debe
contemplar un Plan de Continuidad en la gran empresa es mayor en 2010 que en 2005,
lo que se traduce en que, con el paso del tiempo, este colectivo es más conocedor de las
necesidades y de los componentes que deben considerados en el alcance.
Un análisis más en detalle de la ya mencionada diferencia entre gran empresa y PYME

se puede extraer a partir de las razones por las cuales las empresas no han adoptado
Planes de Continuidad (Gráfico 40). Casi la mitad (49,1%) de las grandes empresas que
no habían implantado tales planes (18,9%) consideran muy reducida la posibilidad de que
ocurra una crisis o un desastre. Por otro lado, el porcentaje de PYME que no dispone de
estrategia de continuidad es tan amplio (61,6%) que las razones que han motivado esta
falta de proactividad en la gestión de la continuidad de negocio son variadas,
heterogéneas y no responden a una postura común. Sin embargo, lo que sí resulta
necesario resaltar por su diferencia con la gran empresa es que un 16,7% de este
subgrupo de PYME que no tiene planes argumenta que no dispone de personal ni del
tiempo necesario. Esta falta de medios es una problemática ya comentada en la PYME
que no tiene tanta visibilidad en la gran empresa, ya que solo el 9,4% afirma que también
tiene este tipo de carencias.
Gráfico 40: Comparativa de las razones por las que las empresas no adoptan Planes de
Continuidad
Considero muy reducida la posibilidad de que ocurra una 19,1%

crisis/desastre 49,1%
15,1%
Presupuesto insuficiente
15,1%
Es un gasto innecesario teniendo en cuenta el coste de 14,2%
implantación 11,3%
No dispongo de personal capacitado ni del tiempo necesario
16,7%
9,4%
Tengo otras debilidades de seguridad que son más prioritarias 7,7%
9,4%
Falta de visibilidad y liderazgo dentro de la organización
0,1%
3,8%
Falta de apoyo por parte de la empresa (del negocio, de la 1,2%
dirección o de los propios empleados) 1,9%
Falta de apoyo por parte de las líneas de negocio
0,2%
1,9%
Otros 10,0%
17,0%
NS/NC 12,5%
0,0%
0% 20% 40% 60% 80% 100%
PYME Gran Empresa
Como ya se ha comentado, uno de los motivos por los que la gran empresa suele estar
mejor preparada para dar respuesta a situaciones graves de parálisis es la disposición,
en general, de más medios, y, en particular, de personal dedicado a la gestión de la
continuidad de negocio de sus actividades.
Lógicamente, cuanto más grande sea el tamaño de una empresa, mayor es la

probabilidad de que disponga de más plantilla dedicada a tareas específicas relacionadas
con los diversos componentes de la continuidad. En el siguiente gráfico (Gráfico 41) cabe
destacar la amplia diferencia entre la PYME y la gran empresa en relación con el número
de personas que han sido designadas para diseñar, elaborar o implantar un Plan de
Continuidad. El 78,9% de las grandes empresas consultadas afirman que destinan más
de 3 personas a tales tareas (frente al 17,5% de las PYME). Por el contrario, el 74,7% de
las PYME participantes en el estudio dedican de 1 a 3 personas (frente a un escaso
21,1% de la gran empresa).
Gráfico 41: Comparativa de volumen de personal dedicado a Continuidad de Negocio
100%
78,9%
80%
60%
40,8%
40% 33,9%
20% 16,0% 17,5%
7,8%
5,1%
0,0%
0%
1 persona Entre 1 y 3 personas Más de 3 personas NS/NC
PYME Gran Empresa
Otro de los elementos analizados, que fortalece la conclusión de que la gran empresa
española se encuentra en una posición más robusta que la PYME en caso de tener que
encarar situaciones de crisis o desastre, es la forma en que las empresas miden la
eficacia y el rendimiento de los componentes del plan. En el gráfico 42 se presenta a los
participantes (tanto del estudio como del Barómetro de Empresas) las diferentes
alternativas existentes para realizar tal medición. En 3 de las 4 posibilidades concretas, el
porcentaje de realización para cada alternativa es mayor en la gran empresa que en la
PYME:
• El 45,7% de la gran empresa realiza auditorías, frente al 21,7% de la PYME que

afirma realizar algún tipo de medición.
• El 30,9% de la gran empresa también define y mide indicadores (métricas), frente al

11,5% de la PYME.
• El 15,4% de la gran empresa se compara con los estándares de continuidad

existentes en el mercado, frente al 6,6% de la PYME.
Gráfico 42: Comparativa entre las formas de medir la eficacia del Plan de Continuidad de
Negocio
Mediante la realización de pruebas periódicas 54,8%

52,5%

45,7%
A través de la definición y medida de indicadores 11,5%

(métricas) 30,9%
En comparación con los estándares del mercado 6,6%

en materia de continuidad 15,4%
Otros 1,9%
3,7%
NS/NC 15,1%
0,0%
0% 20% 40% 60% 80% 100%
PYME Gran Empresa
Para la cuarta alternativa concreta (realización de pruebas periódicas), las diferencias son
mínimas entre la gran empresa (52,8%) y la PYME (54,8%).
A continuación, en el Gráfico 43 se compara la tendencia en los últimos años del gasto

invertido en medidas destinadas a garantizar la continuidad de las operaciones. Del
análisis del citado gráfico cabe deducir que la gran empresa soporta con más solidez
periodos de incertidumbre y crisis económica como los que están acaeciendo, ya que en
el 65,5% de la gran empresa dichos gastos se han mantenido o incluso se han
incrementado (frente al 36,9% de la PYME). Realizando la lectura a la inversa, el 57,0%
de la PYME ha reducido ligera o sustancialmente su gasto en continuidad (por un 34,5%
de la gran empresa).
Gráfico 43: Comparativa de la tendencia en el gasto de medidas de continuidad
Se ha incrementado sustancialmente 10,2%

0,6%
Se ha incrementado ligeramente 13,5%

5,6%
Se ha mantenido 13,2%
59,3%
Se ha reducido ligeramente 52,0%

22,8%
Se ha reducido sustancialmente 5,0%

11,7%
NS/NC 6,2%
0,0%
0% 20% 40% 60% 80% 100%
PYME Gran Empresa
Esta tendencia no solo es debida a la mayor capacidad de la gran empresa para resistir
periodos económicos complejos. También debe tenerse en cuenta que una PYME, aparte
de disponer de menos medios económicos, se mueve en un entorno más dinámico y
cambiante. Este entorno facilita que se vea más rápidamente perjudicada por posibles
condiciones económicas/comerciales adversas que le fuerzan a adoptar medidas
austeras con la misma agilidad.
7 MEJORES PRÁCTICAS DE CONTINUIDAD DE
NEGOCIO
Una mención especial dentro del estudio merecen aquellas PYME que han implementado
algún tipo de plan, estrategia o en definitiva buenas prácticas destinadas a garantizar la
continuidad de sus actividades de negocio. Dicho colectivo también ha sido sometido a
estudio.
Las situaciones de implantación exitosa de buenas prácticas corresponden a 29

organizaciones entrevistadas más en detalle y pertenecientes a diversos sectores de
actividad y tamaños, por lo que el principal objetivo perseguido en este apartado es
obtener una visión generalizada del alcance de las citadas buenas prácticas, así como los
principales motivos, dificultades y beneficios que han supuesto para estas organizaciones
la implantación de medidas orientadas a garantizar la continuidad de sus actividades.
Incidir en que, motivado por la variabilidad de la muestra ya comentada, no es viable una
particularización de estos resultados por grupo de actividad o número de empleados.
A lo largo de los siguientes puntos, se expondrán aquellos factores clave que han
supuesto una implantación exitosa de las medidas de continuidad en las PYME
comentadas y que, por ello, son considerados como buenas prácticas en cuanto a la
gestión de la continuidad de negocio.
El conjunto de buenas prácticas que sirven o han de servir a las PYME para iniciar o
mejorar sus procesos de negocio en caso de incidencia, emergencia o crisis, se ha
identificado desde tres puntos de vista. Así se estipulan aquellas de carácter estratégico,
táctico y técnico/operativo que han de permitirles a este tipo de entidades lograr una
adecuada y eficaz implantación de las medidas de continuidad exigidas.
7.1 Motivos que estimulan a la aplicación de buenas prácticas
Si bien son varias las razones que llevan a las empresas a tomar la decisión de adoptar
estrategias de continuidad de negocio, es importante destacar que las medidas
adoptadas no sólo están enfocadas a garantizar la operativa interna de las entidades,
sino también a afianzar su imagen y reputación de cara al exterior.
Prácticamente la totalidad de las pequeñas y medianas empresas (92,9%) que aplican

buenas prácticas afirma que el principal objetivo perseguido con la implantación de
las medidas es garantizar la continuidad de su negocio. Sin embargo, no restan
importancia a aspectos como garantizar la disponibilidad de su entorno tecnológico
(60,7%), mejorar la imagen de cara a sus clientes (60,7%) o prevenir pérdidas de datos
(50%) (Ver Gráfico 44).
Gráfico 44: Principales motivos que han impulsado la adopción de medidas de continuidad
de negocio
Garantizar la continuidad del negocio 92,9%

Mejorar la imagen frente a sus clientes 60,7%
Garantizar la disponibilidad tecnológica 60,7%
Prevenir la pérdida de datos 50,0%
Adquirir ventaja competitiva 39,3%
Reducir el impacto de una crisis 35,7%
Cumplir con requisitos de auditoría 35,7%
Cumplir con la legislación vigente 35,7%
Prevenir multas y sanciones 17,9%
Cumplir con la estrategia de negocio 17,9%
Proteger al personal 3,6%
Otros 3,6%
NS/NC 3,6%
0% 20% 40% 60% 80% 100%
Base: Total casos de éxito (n=29) Fuente: INTECO
7.2 Buenas prácticas a adoptar
7.2.1 Desde un punto de vista estratégico

La adopción de planes o medidas de continuidad de negocio es una decisión claramente
estratégica para la compañía, de ahí que exija un grado de implicación elevado por parte
de las distintas áreas de la organización. Por ello, tal y como se comentará en detalle a
continuación, contar con el compromiso y el apoyo de la dirección no es sólo una buena
práctica, sino que constituye un aspecto clave para reforzar la imagen y reputación de la
compañía en el mercado.
Obtener el apoyo y compromiso de la dirección
La dirección de las empresas debe ser el órgano que asume la toma de decisiones y
asigna los recursos humanos y económicos necesarios para la adopción de estrategias
de continuidad de negocio. Por tanto, es el área que debe estar más convencida de la
necesidad y de la criticidad de implementar buenas prácticas de gestión de la continuidad
de negocio.
Tal y como se muestra en el Gráfico 45, un 86,2% del colectivo de pequeñas y

microempresas más avanzadas en la adopción de medidas de continuidad afirma que el
grado de implicación de su dirección ha sido alto, mientras que un 3,4% declara haber
contado con una baja participación de las direcciones más ejecutivas.
Este dato reafirma la idea de que el éxito de implantación de un plan o estrategia de
continuidad depende en gran medida del apoyo recibido por todas las áreas de negocio
de la entidad (por ser éstas las que conocen al detalle el funcionamiento interno de sus
procesos) y especialmente por la alta dirección.
Gráfico 45: Grado de implicación de la dirección en materia de continuidad de negocio
Alto 86,2%
Medio 6,9%
Bajo 3,4%
NS/NC 3,4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Derivado del argumento y gráfico anterior, las propias empresas participantes son
conscientes de la importancia del rol que representan sus directivos dentro del ciclo de
continuidad y valoran como muy positivo la respuesta obtenida, argumentando que el
grado de implicación es el adecuado por ser éste máximo.
7.2.2 Desde un punto de vista táctico

Fundamental es, de igual modo, afrontar las etapas de definición y desarrollo del plan de
continuidad en base a unas buenas pautas de actuación. Dichas prácticas pueden ser
resumidas en dos grandes grupos, realizar un análisis previo de los riesgos a los que está
sometida la entidad y definir en base a ello el alcance de la estrategia de continuidad a
implementar.
A lo largo del presente apartado, se hace también mención a aquellas percepciones

erróneas o malas prácticas detectadas tras el análisis de este colectivo, con el objetivo de
que las PYME puedan identificar aquellas áreas pendientes de mejora en cuanto a su
comportamiento en materia de continuidad.
Analizar a priori los riesgos que impactan en la continuidad
A la hora de afrontar el diseño, desarrollo e implantación de un plan de continuidad de

negocio, es fundamental analizar con carácter previo las fuentes de riesgo que amenazan
la interrupción de las actividades de negocio de las empresas.
Existe un gran número de fuentes de riesgo predefinidas. Sin embargo, el siguiente

gráfico pretende destacar aquellas consideradas por las PYME como las más difíciles de
anticipar y salvaguardar. Tal y como se puede observar, los desastres naturales, la
interrupción de suministros y las enfermedades o pandemias figuran entre los eventos
más difíciles de prever y evitar.
Gráfico 46: Principales fuentes de riesgo de interrupción de actividades de negocio

identificadas (según la dificultad para ser anticipadas y salvaguardadas)
Desastres naturales 41,4% 24,1% 34,5%
Interrupción de suministros 34,5% 31,0% 34,5%
Enfermedades/pandemias 24,1% 41,4% 34,5%
Error humano 20,7% 44,8% 34,5%
Fallo en la infraestructura de red 17,2% 48,3% 34,5%
Fallo en los servicios esenciales 13,8% 51,7% 34,5%
Disturbios laborales (huelgas por ejemplo) 13,8% 51,7% 34,5%
Fallo en los sistemas de información 3,4% 62,1% 34,5%
Falta de personal en áreas especializadas0,0% 65,5% 34,5%
Otros0,0% 65,5% 34,5%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sí No NS/NC
Definir el alcance de la estrategia de continuidad de negocio
Una vez conocidos y valorados los riegos a los que está sometida la PYME, se hace
necesario planificar las acciones que permitan poner en marcha el diseño e implantación
del plan, de forma que éste tenga en cuenta las actividades de negocio más importantes
y críticas.
En este sentido, un porcentaje elevado de entidades señala la planificación del

proyecto (75,9%) y la solicitud de soporte/asesoría externa (55,2%) como las
actividades más necesarias de abordar en la fase inicial de diseño e implantación del
plan, datos que concuerdan con las buenas prácticas dictadas en las principales guías y
estándares de continuidad de negocio 41 (ver Gráfico 47). En contraposición a las pautas
establecidas en dicha normativa, el hecho de conocer el funcionamiento y la composición
de los procesos de la empresa no es percibido como un requerimiento necesario (un
96,6% no considera necesario tal misión). Los propios estándares establecen que esta
percepción representa una carencia que puede impactar negativamente en la idoneidad
de las prácticas de continuidad asimiladas, ya que la probabilidad de que una
organización recupere su actividad tras un desastre es muy baja si no dispone
previamente de un buen conocimiento acerca de cómo funciona.
De forma análoga, también se hace necesario resaltar los escasos porcentajes de

empresas que establecen a priori como requisito ciertos componentes críticos de todo
plan de continuidad de negocio como son la realización de pruebas periódicas de
rendimiento y eficacia del plan (el 37,9% identifican este apartado como un
requerimiento) y los procedimientos de actuación (1 de cada 4 empresas más maduras
en la adopción de buenas prácticas lo considera necesario a priori).
Gráfico 47: Requerimientos identificados inicialmente para la elaboración e implantación

del plan de continuidad de negocio
Plan de proyecto: fases, actividades, fechas, hitos,

75,9% 20,7% 3,4%
responsables, etc.
Soporte y asesoría externa 55,2% 41,4% 3,4%
Disposición y capacitación de los empleados 48,3% 48,3% 3,4%
Diseño de las estrategias de recuperación 44,8% 51,7% 3,4%
Política de continuidad de negocio 44,8% 51,7% 3,4%
Presupuesto 44,8% 51,7% 3,4%
Apoyo y compromiso por parte de la dirección 41,4% 55,2% 3,4%
Pruebas 37,9% 58,6% 3,4%
Procedimientos de actuación 24,1% 72,4% 3,4%
Conocimiento de la empresa0,0% 96,6% 3,4%
Otros0,0% 96,6% 3,4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sí No NS/NC
41
BS 25999:2006 (British Standard): Primera norma británica para la gestión de continuidad de negocio
ISO/IEC 27002:2005: Código de buenas prácticas para la Gestión de la Seguridad de la Información
PASS 77:2006 (Publicly Available Specification): Guía de buenas prácticas de la continuidad emitida por BSI
ISO/IEC 20000: Estándar regulatorio de la Gestión de los Servicios relacionados con las Tecnologías de Información
7.2.3 Desde un punto de vista técnico/operativo
Con respecto a este punto, la ausencia de unas buenas prácticas de actuación puede
verse materializada en una mayor complejidad a la hora de implantar el plan o en una
implantación insatisfactoria o fallida.
En este sentido, las entidades han identificado una serie de obstáculos técnicos y
operativos a los que se enfrentan de manera global y cuya subsanación es posible
mediante el seguimiento de buenas pautas de actuación como las que se detallan en este
apartado (recurrir a asesoramiento externo, adquirir el software y hardware adecuado,
ejecutar periódicamente medidas que permitan evaluar la eficacia de la estrategia
definida).
¿Qué obstáculos motivan la adopción de buenas prácticas?
Las entidades afirman que el principal obstáculo al que se han tenido que enfrentar en el
desarrollo de sus programas de continuidad es el desconocimiento en la materia y la falta
de preparación del personal (31%). El coste de implantación (27,6%) o la falta de los
recursos necesarios (24,1%) son también dificultades a las que en algún momento se han
visto expuestas las PYME.
Gráfico 48: Principales obstáculos afrontados en el desarrollado de la estrategia de

continuidad
Desconocimiento o falta de preparación por parte del

31,0% 51,7% 17,2%
personal implicado
Coste de su implementación 27,6% 55,2% 17,2%
Falta de inversión presupuestaria y por tanto de los

24,1% 58,6% 17,2%
recursos necesarios
Carencia de pautas claras para abordar el proyecto 20,7% 62,1% 17,2%
Falta de compromiso y apoyo por parte de la

3,4% 79,3% 17,2%
dirección
NS/NC 17,2% 65,5% 17,2%
Otras 24,1% 58,6% 17,2%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Sí No NS/NC
En aquellos casos en los que el desconocimiento ha sido identificado como una de las
principales dificultades, una buena actitud a adoptar por parte de la PYME, y que es
sugerida en los principales estándares y guías de continuidad desarrollados, es optar por
la asesoría y soporte de expertos en la materia.
Recurrir a asesoramiento externo
El sondeo realizado a las 29 PYME objeto de estudio en este apartado, muestra que, un
62,1% de las organizaciones ha requerido de asesoramiento externo para abordar el
desarrollo, diseño o implantación de las medidas de continuidad, frente a un 27,6% que
afirma no haber necesitado solicitar este apoyo externo (ver Gráfico 49).
Este resultado es ligeramente diferente al obtenido en el epígrafe 5.3 del estudio global
realizado a la totalidad de las PYME participantes (ver Gráfico 33). En dicho apartado se
realizaba el mismo sondeo para aquellas empresas que afirmaban haber implementado
alguna medida de continuidad. La variabilidad de los resultados debe atribuirse a la
diferencia de tamaño de las muestras consideradas (199 y 29 respectivamente) y,
especialmente, a que el colectivo de 29 PYME seleccionado corresponde a
organizaciones que han sido específicamente elegidas debido a la exitosa implantación
de sus medidas.
Estos datos confirman que las entidades que han implantado exitosamente estrategias de
continuidad coinciden en que recurrir a asesoramiento externo es una buena práctica que
facilita la implantación de medidas de continuidad. Aun así, este no debe ser considerado
como un factor excluyente, ya que como bien se observa en el citado gráfico, un 27,6%
de las entidades han conseguido abordar exitosamente un plan de contingencia, sin
necesidad de contar con apoyo externo.
Gráfico 49: PYME que han requerido de asesoramiento externo para abordar la
implantación de buenas prácticas de continuidad de negocio (%)
10,3%
27,6%
62,1%
Sí No NS/NC
Tal y como se muestra en el Gráfico 50, el motivo por el que las organizaciones han
considerado necesario contar con el soporte y asesoría de proveedores externos
permanece invariante con respecto a los resultados obtenidos a lo largo del estudio
global (ver Gráfico 34). Las 29 PYME entrevistadas afirman haber recurrido a asesores
no sólo por el desconocimiento general que muestran en materia de continuidad (38,1%),
sino también por la experiencia y el conocimiento especializado que éstos pueden aportar
(38,1%).
Gráfico 50: Motivos que han inducido a las PYME que han implantado buenas prácticas a
demandar asesoramiento externo para abordar planes de continuidad de negocio
Experiencia y conocimiento especializado del asesor 38,1%
Desconocimiento para abordar el proyecto 38,1%
Falta de recursos humanos 14,3%
Complejidad para abordar el proyecto

9,5%
Otros 14,3%
NS/NC 19,0%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Adquirir el Software y Hardware adecuados
Según se introducía al inicio de este apartado (epígrafe 7.2.3), el éxito en la elaboración

de los procedimientos de contingencia se debe también en gran medida a la adquisición
del software y el hardware adecuados.
Las herramientas software facilitan tanto la gestión como la automatización de los

procesos necesarios para garantizar la continuidad del negocio (por ejemplo, procesos de
monitorización de eventos, gestión de antivirus, planificación de realización de copias de
seguridad).
Del mismo modo, los dispositivos hardware permiten llevar a cabo estas tareas,
entendiendo por ello elementos que posibiliten la redundancia de equipos y
comunicaciones, discos para la realización de copias con mayor capacidad, etc.
El Gráfico 51 muestra cuáles han sido, desde el punto de vista de las PYME
entrevistadas, los factores críticos que han sido clave para la obtención de los buenos
resultados.
Como se puede ver en dicho gráfico, un 55,2% de las PYME considera vital la adquisición
de software y hardware, así como la ejecución de pruebas periódicas (51,7%), medida
comentada en detalle a lo largo del siguiente punto.
Gráfico 51: Factores críticos que han contribuido al éxito en la elaboración de los
procedimientos de contingencia
Adquisición y disposición de software y hardware

55,2% 34,5% 10,3%
adecuados
Ejecución periódica de pruebas 51,7% 37,9% 10,3%
Actitud y capacitación de las personas 44,8% 44,8% 10,3%
Definición de normas y procedimientos detallados 41,4% 48,3% 10,3%
Comunicación de roles y responsabilidades 31,0% 58,6% 10,3%
Diseño y planificación del proyecto 27,6% 62,1% 10,3%
Implicación de los proveedores seleccionados 20,7% 69,0% 10,3%
Otros 6,9% 82,8% 10,3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sí No NS/NC
Evaluar periódicamente la eficacia de las medidas de continuidad
Sin duda, una de las prácticas esenciales para lograr el buen funcionamiento del plan o
estrategia definido, es la evaluación periódica a posteriori de la eficacia y rendimiento de
las medidas de continuidad establecidas.
Dentro de las métricas definidas para ello, la más comúnmente establecida es la

ejecución de pruebas periódicas, tal y como se observaba en el Gráfico 51.
Un dato concluyente al respecto es que, pese a que en las etapas iniciales de la

estrategia de continuidad (planificación y diseño) la realización de pruebas no es
identificada por las PYME como un requisito básico, en las etapas más maduras,
avanzadas y operativas de dicha estrategia (actualización y mantenimiento), el
conocimiento adquirido por parte de la propia entidad hace que su percepción cambie.
Cuando las entidades son cuestionadas directamente al respecto, la respuesta es
contundente: la ejecución de pruebas periódicas es uno de los factores más críticos
que contribuyen al éxito en la elaboración de los procedimientos de contingencia.
El Gráfico 52 muestra los datos que lo evidencian. Un 75,8% de las empresas con algún
tipo de estrategia de continuidad implantada afirma realizar pruebas periódicamente, de
las cuales un 65,5% declara ejecutarlas al menos una vez al año.
Gráfico 52: Periodicidad de realización de pruebas periódicas que evalúen la eficacia de las
medidas implantadas (%)
Sí, con una periodicidad

10,3%
superior a un año
Sí, anualmente 44,8%
Sí, cada 6 meses 20,7%
No se realizan pruebas
13,8%
periódicas
NS/NC 10,3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Aunque es patente el alto grado de implantación de esta medida, la ejecución de pruebas

periódicas no se trata de la única acción adoptada por las organizaciones para evaluar la
eficacia de sus estrategias de continuidad (ver Gráfico 53). La realización de auditorías
(41,4%) o la definición de métricas (31%) son otros procesos empleados por las
entidades para valorar el rendimiento de las medidas implementadas.
Gráfico 53: Actividades abordadas por las PYME para evaluar la eficacia de los planes o
estrategias de continuidad definidas
Mediante la realización
65,5%
de pruebas periódicas
A través de la definición y
medida de indicadores 31,0%
(métricas)
En comparación con los

estándares del mercado 6,9%
en materia de continuidad
NS/NC 3,4%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Estos resultados evidencian que las organizaciones que han optado por implementar
algún tipo de estrategia o plan que garantice la continuidad de sus operaciones son
conscientes de que la implantación de un plan exige de un mantenimiento y revisión
continua que permita evaluar el nivel de adecuación con respecto a las necesidades,
prioridades y procesos de negocio de las empresas.
7.3 Beneficios asociados a la adopción de buenas prácticas
Dejando a un lado las buenas prácticas a afrontar en las distintas fases de definición e
implantación del plan y centrando la atención en la post-implantación, es una realidad que
el hecho de contar con un plan o estrategia de continuidad definido e implantado aporta a
las organizaciones un alto valor añadido. Las PYME encuestadas afirman que son varios
los beneficios obtenidos tras la implantación, destacando como principales la agilidad de
respuesta adquirida ante situaciones de crisis (72,4%) y la identificación o mapeo
de los recursos mínimos necesarios para garantizar la continuidad (41,4%).
En este sentido, son escasas las empresas participantes que perciben como beneficio
(derivado de la implantación de buenas prácticas de continuidad de negocio) aspectos
como el desarrollo de una cultura y de un nivel de sensibilidad en materia de continuidad
(13,8%) o la protección de los empleados (24,1%), lo cual evidencia que el grado de
madurez de las PYME en materia de continuidad todavía dista de ser máximo (ver
Gráfico 54).
Gráfico 54: Beneficios de poseer medidas y procedimientos de actuación que garanticen la
recuperación de una contingencia grave en el menor tiempo posible
Respuesta proactiva y ágil frente a incidentes de seguridad

72,4% 20,7% 6,9%
y situaciones de crisis
Mapeo de los recursos mínimos requeridos en la
41,4% 51,7% 6,9%
continuidad de las operaciones de negocio
Control del impacto financiero y operacional causado por la
37,9% 55,2% 6,9%
interrupción de las operaciones
Conocimiento consistente y continuo del negocio y de la
34,5% 58,6% 6,9%
efectividad de la estrategia de continuidad definida
Sistematización de los procesos de análisis y gestión del
27,6% 65,5% 6,9%
riesgo asociado a la continuidad
Protección de los empleados 24,1% 69,0% 6,9%
Desarrollo de cultura y personal mejor capacitado y

13,8% 79,3% 6,9%
sensibilizado en lo relativo a continuidad
Otros 3,4% 89,7% 6,9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
%
Sí No NS/NC
8 CONCLUSIONES
Aparte de recursos y/o presupuestos insuficientes, una característica común que sirve
como argumento para justificar los escasos niveles de implantación ya no solo de planes,
sino simplemente de medidas para facilitar de algún modo la continuidad de las
actividades de las empresas, es que éstas desconocen la multitud de riesgos a los
que se enfrentan, su probabilidad de ocurrencia y las consecuencias que pueden llegar
a provocar.
Esta percepción de los riesgos provoca que las empresas opten por asumirlos
inconscientemente, con la idea errónea de que es suficiente con disponer de copias de
seguridad, antivirus o sistemas de detección y extinción de incendios. Además muchas
de ellas entienden que:
• “No merece la pena” generar un gasto que no va a proporcionar beneficios

económicos.
• La probabilidad de padecer un evento adverso grave es tan baja que no compensa

invertir en este tipo de acciones.
En este sentido la posición de la PYME española es mayoritariamente reactiva, es decir,

solo cuando sufren incidentes de seguridad graves es cuando se despierta su interés y su
predisposición a fortalecer la resistencia de sus operaciones.
El hecho de no aplicar métodos destinados a identificar y priorizar los riesgos como parte
de los procesos de toma de decisiones hace que los presupuestos y los recursos
destinados a la gestión de la continuidad no se ajusten a las necesidades reales y
terminen representando una de las principales barreras que impiden poner en marcha
acciones y/o prácticas de continuidad de negocio.
Sin embargo, en contraste a la percepción desglosada en párrafos anteriores,

prácticamente la mitad de las empresas consideran que no pueden permitirse tener
sus actividades paralizadas más de un día sin que este hecho provoque pérdidas
graves. Es decir, son conscientes de los ajustados márgenes de tiempo de caída
permisibles y en contraposición carecen de capacidad para identificar como crítica la
implantación de planes de respuesta que satisfagan dichos márgenes tan ajustados.
Por otro lado, el Estudio sobre la seguridad y la e-confianza en las pequeñas y

microempresas españolas 42 desarrollado por INTECO en 2009, en el que se analizaba el
grado de penetración de las diferentes herramientas y medidas de seguridad aplicadas
por la PYME española, establecía la existencia de diferencias en función del tamaño de la
42
Op. cit. 5
empresa, atribuyendo mayores niveles de implantación cuanto mayor fuera el tamaño de
la empresa.
Análogamente, en el presente estudio los índices de implantación de planes de

continuidad de negocio también varían en función del tamaño de la empresa: las
empresas de mayor tamaño disponen de más capacidad para poder dedicarse a la
gestión de la continuidad de negocio. No obstante, se ha podido constatar que, en otros
ámbitos relacionados con la continuidad como el grado de conocimiento de la materia o el
número de personas dedicadas a su gestión, aunque se aprecia un nivel de cultura de
continuidad ligeramente mayor en las entidades de mayor tamaño, las diferencias son en
ambos casos poco significativas.
El establecimiento del alcance, de las necesidades, o de los aspectos que deben tenerse
en cuenta cuando una compañía aborda o impulsa una estrategia de continuidad de
negocio son los mismos tanto para grandes como para pequeñas empresas. La
estrategia de continuidad de negocio es o debe ser un aspecto esencial y
prioritario independientemente del tamaño de la compañía.
Actualmente la diferencia entre ellas estriba en que la PYME española (sobre todo la
pequeña y microempresa española), a diferencia de las grandes organizaciones
españolas, no dispone del nivel de compromiso y concienciación por parte de su personal
de dirección, no entienden conceptos como “gestión” o “análisis de riesgos”. Es difícil
hacer llegar a las empresas españolas de menor tamaño la premisa de que toda decisión
estratégica debe basarse en un análisis previo. Estos son los principales inconvenientes
a los que se enfrentan los proveedores de soluciones y servicios de continuidad cuando
tratan de inculcar en sus potenciales clientes la necesidad y la importancia de abordar
estrategias de continuidad.
Respecto a los niveles de conocimiento de conceptos relacionados con la continuidad

de negocio, y exceptuando las empresas del sector de las tecnologías de la información y
la comunicación y de las actividades financieras, seguros y actividades inmobiliarias, las
PYME españolas no parecen distinguir entre Planes de Continuidad de Negocio y Planes
de Recuperación ante Desastres. Aparte de que esta diferencia fue planteada
directamente a las empresas en la fase de trabajo de campo, algunos proveedores de
servicios de continuidad indican que la PYME asume o interpreta que implantar un plan
de continuidad de negocio consiste en realizar una copia de seguridad de su información
y alojar la misma en una ubicación remota a sus instalaciones de trabajo.
Sumado al desconocimiento de este ámbito de la seguridad y del reducido porcentaje de

empresas que disponen de planes de continuidad de negocio o planes de recuperación
ante desastres, tanto la industria del área de la seguridad especializada en continuidad
de negocio como otros entidades expertas en la materia coinciden en afirmar que no se
percibe un aumento significativo de la preocupación e interés al respecto, por lo que la
demanda de servicios de consultoría, formación y/o auditoría de las actividades de
continuidad se mantiene constante en las últimas fechas.
Precisamente, la demanda de soporte y/o asesoramiento externo es una realidad

patente entre aquellas empresas que deciden incrementar la garantía de disponibilidad
de sus servicios, no solo por el hecho de implantar medidas de continuidad en sí (tanto
procedimentales como técnicas y organizativas), sino también por la necesidad de
obtener por parte de personal experto una visión global más estratégica y a alto nivel, así
como mayor entendimiento del proceso de gestión de la continuidad de negocio.
Dentro del colectivo compuesto por aquellas PYME participantes más maduras en cuanto
a la adopción de actividades o planes de continuidad de negocio, se puede comprobar
que los empresarios entrevistados han decidido impulsar tales acciones motivados por el
fin de garantizar la resistencia 43 de sus procesos (y de la tecnología que soporta los
mismos) ante posibles eventos adversos y para proteger su imagen y reputación. En
relación con este último punto, indicar que el mercado en el que se mueve la PYME es
tan dinámico y flexible que una parada del servicio implicaría una rápida reposición de
sus competidores y una pérdida de cuota de mercado por parte de la compañía cuyo
proceso se ha visto interrumpido. Otro motivo alegado, que tímidamente comienza a
cobrar importancia, son los requerimientos de los propios clientes. Por otro lado, la laxitud
de los requerimientos legales/regulatorios y el escaso nivel de penetración de estándares
de la industria son aún motivos poco estimulantes.
La importancia que las pequeñas y microempresas españolas otorgan a la continuidad de

negocio reside no solo en la implantación de los correspondientes planes de respuesta
(como si fuera la ejecución de un proyecto con inicio y fin), sino también en el
mantenimiento, mejora y actualización periódica de los mismos. Dentro del escaso
colectivo de empresas exitosas y poseedoras de programas de continuidad existe la
percepción general de que las inversiones se mantienen y son adecuadas a sus
necesidades. Adicionalmente, más de la mitad de estas 29 PYME que han sido
identificadas como desarrolladoras de buenas prácticas miden la eficacia y el rendimiento
de sus medidas a través de pruebas o auditorías periódicas, lo que es entendido como un
comportamiento orientado a la gestión bajo un ciclo de mejora continua.
Respecto a los incidentes de seguridad que suponen consecuencias adversas sobre la

disponibilidad de los productos y servicios de las empresas, es complicado extraer
aquellas que acontecen con mayor frecuencia. Es necesario insistir en que el elevado
porcentaje de empresas que indican no haber tenido ningún incidente de seguridad de
estas características (56,7%) se debe principalmente al breve periodo de tiempo
considerado en el momento de realización de las entrevistas (3 meses). De todos modos,
43
En continuidad de negocio es común la mención al concepto “Resiliencia” o Resilient en inglés, referido a la capacidad
de elasticidad y robustez de una empresa para hacer frente a los impactos.
entre la tipología más común de incidente de seguridad con penalización sobre la
continuidad de las operaciones de negocio, cabe destacar el de la falta de servicio por
parte de los proveedores (16,3%) y, aparte de los ataques informáticos con un 11,1%, las
caídas tanto de los sistemas de soporte (8,9%) como de las aplicaciones y sistemas de
negocio (7,4%).
Muy pocas pequeñas y microempresas españolas han padecido pérdidas económicas

derivadas de esos incidentes de seguridad (36,7%) y, dentro del colectivo de los que sí
han tenido este tipo de pérdidas, son muy pocas las que tienen la capacidad para calcular
las mismas. Entre aquellas PYME que sí lo han estimado, las incidencias de seguridad
con mayor impacto económico han sido las asociadas a la caída de sistemas de soporte,
(con pérdidas superiores a 15.000 € para 1 de cada 4 empresas) y las derivadas de la
imposición de multas y sanciones económicas (también superan los 15.000 € pero en
este caso en 1 de cada 5).
Esta falta de capacidad para calcular monetariamente las pérdidas financieras es común
entre las empresas ya que dicha estimación depende de múltiples factores (algunos de
los cuales son complejos de estimar por su carácter intangible): pérdida de ingresos
durante la interrupción, coste de recuperación y vuelta a la normalidad, posible pérdida de
clientes, reposición de bienes materiales, sanciones/multas derivadas de incumplimientos
legales o contractuales, etc.
La principal consecuencia derivada de los incidentes de seguridad es la que tiene efecto

sobre la disponibilidad de los sistemas que soportan las actividades de negocio, ya que el
87,9% de las entidades que sufrieron incidentes de seguridad indican que el principal
impacto sobre las interrupciones ha sido el operativo. Las incidencias que más
penalizaron la operatividad de las empresas participantes en el estudio fueron la carencia
de servicio por parte de los proveedores, la caída de los sistemas de soporte, así como
los ataques informáticos. Por último es frecuente atribuir la responsabilidad de los
incidentes de seguridad a los proveedores de los servicios, a una mala u obsoleta
configuración de los sistemas y al hecho de desconocer las amenazas a las que pueden
estar sometidas.
A pesar de que un fallo en los servicios facilitados por terceros (proveedores) sea uno de
los incidentes de seguridad más comunes o una de las causas que según las empresas
participantes inducen o provocan paralizaciones de sus operaciones de negocio, 7 de
cada 10 no establecen con sus proveedores ningún requerimiento o medida similar que
garantice la continuidad de los servicios proporcionados en caso de acontecer un evento
adverso.
8.1 Análisis DAFO
Con el fin de sintetizar las conclusiones del estudio, y como paso previo a la lectura del
siguiente apartado de recomendaciones, se expone a continuación el análisis DAFO
(debilidades, amenazas, fortalezas y oportunidades). El objetivo de este análisis es
contrastar la situación interna percibida por la PYME (fortalezas y debilidades) con los
factores externos y no controlables asociados a su entorno (oportunidades y amenazas).
Este análisis es una herramienta útil para conocer la situación real en la que se encuentra
la PYME con respecto a la continuidad de negocio.
8.1.1 Debilidades
• Desconocimiento de los riesgos y de los procesos de gestión asociados
Las pequeñas y microempresas españolas no son conscientes de los riesgos que

pueden paralizar sus operaciones de negocio y consecuentemente las acciones
de toma de decisiones y asignaciones presupuestarias en materia de seguridad
pueden resultar desacertadas y no priorizadas. Aún entre ellas se mantiene la
percepción engañosa de que la probabilidad de que sus procesos de negocio se
detengan por causa de un incidente es baja.
• Falta de cultura en materia de continuidad de negocio
Ha quedado en evidencia que más de la mitad de las PYME españolas (61%)

participantes desconoce absolutamente conceptos clave en esta área de
seguridad de la información como son los Planes de Continuidad de Negocio y los
Planes de Recuperación ante desastres. De forma adyacente, la criticidad y los
beneficios asociados a este tipo de planes son aspectos que no están inculcados
entre las organizaciones.
• Requerimientos de continuidad de negocio en proveedores de servicios
Ya en el Estudio sobre la seguridad y la e-confianza en las pequeñas y

microempresas españolas 44 desarrollado por INTECO en 2009 se detallan altos
niveles de externalización de servicios, sobre todo los asociados al entorno
tecnológico. De la misma forma que dicho estudio indica ciertas pérdidas de
control de la seguridad de la información sobre los proveedores, se hace
necesario destacar que este control es extensible a través del presente estudio al
área de la gestión de la continuidad de negocio, cuyos requerimientos aún no
están presentes en las relaciones empresariales ni son percibidos como
exigencias imprescindibles que deben ser establecidas en la relación comercial
establecida entre cliente y proveedor.
44
Op. cit. 5
• Las PYME que no están preparadas pueden llegar a desaparecer
Las pequeñas y microempresas españolas en general se componen de procesos

de negocio más sencillos y bajo entornos controlados, lo que hace pensar a priori
que la gestión de la continuidad de negocio puede llegar a ser más sencilla de
abordar que en la gran empresa. Por otro lado, la gran empresa suele disponer de
más recursos y mayor capacidad para afrontar posibles paralizaciones de sus
operaciones.
¿Por qué es necesario establecer esta diferenciación? La intención es plasmar

que, si una empresa de pequeñas dimensiones es objeto de un suceso grave que
impacta en sus actividades y no ha trabajado un plan de respuesta, las
posibilidades de disolución o al menos de cierre temporal de la misma son reales
y mayores que en una empresa grande.
8.1.2 Amenazas
• Pérdida de competitividad y/o posición comercial
El retraso en general de las pequeñas y microempresas españolas en el área de

continuidad de negocio hace concluir su falta de preparación y su incapacidad de
respuesta en caso de que tengan que afrontar una situación de crisis/desastre.
Esta situación, unida a un entorno empresarial tan flexible y cambiante como es
en el que está ubicado la PYME española puede provocar una pérdida de
competitividad y posicionamiento inusualmente veloz.
• Esfuerzos de recuperación centrados en el ámbito tecnológico
Hoy en día el uso de las plataformas tecnológicas (sistemas, aplicaciones,

comunicaciones, etc.) es dominante en la mayoría de las empresas y no está
sujeto al tamaño de las mismas. Esta presencia convierte a la tecnología en un
recurso crítico que soporta las principales actividades de negocio de las
organizaciones y que por tanto debe estar presente en todo programa de gestión
de la continuidad.
En relación con la criticidad de las tecnologías de la información y las

comunicaciones, son muchas las empresas que asumen erróneamente que
disponer de un Plan de Continuidad de Negocio consiste únicamente en recuperar
la parte tecnológica.
Es importante hacer notar, sin embargo, que, aunque muchas empresas invierten
sus esfuerzos a la recuperación de sus sistemas tecnológicos, deberían ampliar
sus miras y asimilar que toda actividad relacionada con la gestión de continuidad
de negocio comprende no solo tecnología, sino también procesos y personas.
• Ausencia de requerimientos legales
Actualmente en España no existe ningún tipo de ley o reglamento que formal e

íntegramente fuerce a las empresas a implantar planes de continuidad de negocio
o similar. Esta carencia contribuye a la falta de respuesta ante situaciones graves
reportada a través del presente documento.
Relacionado con este aspecto, es interesante destacar que más de la mitad de las
empresas entrevistadas (56,3%) consideran importante o muy importante el
desarrollo de medidas o requerimientos legales que difundan y conciencien
acerca de la criticidad que tiene el hecho de estar preparados para actuar frente a
una situación de crisis o desastre.
Gráfico 55: Valoración de las medidas impulsoras más adecuadas para asimilar la
importancia de estar preparados ante situaciones de crisis o desastre
Apoyo por parte de instituciones públicas (fondos,

6,0%12,2%
7,3% 23,6% 50,9%
sesiones, documentación, etc.)
Compartir casos de éxito de entidades obligadas a

16,6% 13,5% 23,4% 26,4% 20,1%
activar sus medidas de continuidad
Medidas o requerimientos sectoriales/legales 35,2% 8,5% 22,4% 21,9% 12,0%
Otros 22,3% 20,4% 10,0%7,3% 40,1%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100
(1) Nada importante (2) Poco importante (3) Importante (4) Bastante Importante (5) Muy importante
%
8.1.3 Fortalezas
• Alto nivel de implantación de medidas de seguridad preventivas
La implantación de medidas de seguridad que en última instancia evitan

situaciones más graves supone un punto de partida para la mejora paulatina de
los procesos de gestión de continuidad. Son elevados los porcentajes de
empresas participantes que afirman disponer de procesos de gestión de copias de
seguridad (87,8%), software y hardware de seguridad (79,7%), soporte y apoyo de
consultores expertos (79,2%) y otras muchas más. Tal y como se detalla en la
Guía práctica para pequeñas y medianas empresas: cómo implantar un Plan de
Continuidad de Negocio que fue desarrollada en paralelo al estudio, la activación
de un Plan de Continuidad de Negocio es la última opción a la que deben recurrir
las compañías. Previamente deben entrar en juego las medidas de seguridad
preventivas que eviten en la medida de lo posible dicha activación.
• Incremento de los niveles de preocupación y sensibilización
Si bien la demanda de servicios relacionados con la gestión de la continuidad de

negocio no es un aspecto cuya evolución sea firmemente apreciable, no sucede lo
mismo con el interés creciente mostrado por las PYME. Aunque en niveles
todavía no muy elevados, se aprecia que cada vez son más las entidades que
tratan de documentarse al respecto y ampliar su conocimiento.
Sin duda, y aparte de los esfuerzos progresivamente mejor recibidos y realizados

por entidades privadas y otros organismos especializados en continuidad de
negocio, sucesos informativos (inundaciones, caídas del tendido eléctrico,
incendios, etc.) que muestran la situación crítica de organizaciones que sufren
grandes desastres contribuyen al aumento de la preocupación. Aun así, el nivel de
preparación frente a posibles contingencias graves tiene un amplio margen de
mejora.
• Escasos márgenes de tiempos de interrupción permitidos
Casi la mitad de las empresas participantes en el estudio afirman que no se

pueden permitir que sus procesos de negocio estén paralizados durante más de
12 horas, ya que superar este periodo de interrupción supondría grandes pérdidas
para la compañía.
Aunque esta percepción aún no se ha traducido de forma efectiva en un aumento

tangible de implantación de las correspondientes medidas de continuidad,
constituye una de las bases más sólidas y una consideración importante para
poder pensar en un futuro más alentador consistente en una mejora de los niveles
de preparación y respuesta ante situaciones de parálisis de las actividades.
8.1.4 Oportunidades
• Guía práctica para pequeñas y medianas empresas: cómo implantar un Plan de
Continuidad de Negocio
Tal y como se ha citado anteriormente, uno de los objetivos del estudio consiste
en inculcar y difundir entre la PYME española la importancia que tiene en el
mundo empresarial el hecho de que adopten medidas o planes de continuidad de
negocio.
Dicha guía tiene el objetivo de identificar y explicar de forma desglosada las
actividades necesarias para diseñar, implantar y mantener un Plan de Continuidad
de Negocio, proporcionando, siempre que sea posible, gráficos, ejemplos
ajustados a las necesidades reales de la pequeña y mediana empresa española.
Así, se pretende que las organizaciones asimilen y entiendan cada una de las
fases y tareas que componen dicho plan.
• Facilidad de acceso al amplio portafolio de servicios de continuidad de negocio

ajustado a las necesidades y a la realidad de la PYME
Conscientes de la alta presencia de la PYME en el tejido empresarial español,

existen multitud de entidades (consultoras de seguridad de la información,
empresas de formación, fabricantes de soluciones de seguridad, asociaciones
sectoriales, cámaras de comercio, etc.) que dirigen sus iniciativas y sus esfuerzos
al citado colectivo, ofreciendo un conjunto amplio de soluciones y servicios
acordes a las necesidades y a los requerimientos de la pequeña y microempresa
española.
Dichos servicios cubren un amplio rango de posibilidades y van desde los

relacionados con consultoría (asesoramiento en la implantación de un plan de
continuidad de negocio o incluso en la certificación/adecuación al ya citado
estándar de continuidad de negocio BS 25999:2006 45 ) o auditoría (revisión de las
medidas de continuidad de negocio implantadas) hasta los que permiten la
adquisición de software (como por ejemplo el que permite la gestión automatizada
de las copias de seguridad de los datos) o hardware específico (como aquel que
facilita la redundancia o alta disponibilidad de los sistemas tecnológicos), pasando
por formación específica relacionada con los componentes y procesos de gestión
de la continuidad.
45
Op. cit. 40
9 RECOMENDACIONES
En base a los resultados y las conclusiones del estudio, se detallan a continuación una
serie de recomendaciones de actuación dirigidas fundamentalmente a 3 grandes
colectivos: las pequeñas y microempresas españolas, la industria de la seguridad de la
información especializada en soluciones y/o servicios de continuidad de negocio y las
administraciones públicas.
El motivo de enfocar dichas recomendaciones a estos tres grandes grupos se debe a la

importancia del papel representado por cada uno de ellos en el ciclo de la demanda,
oferta y divulgación de estos servicios respectivamente.
9.1 Recomendaciones dirigidas a las pequeñas y microempresas
Formarse y documentarse en materia continuidad de negocio
Tal y como se detalla en el estudio, los niveles de conocimiento en cualquier tipo de

aspecto relacionado con garantizar la continuidad de las operaciones de una empresa
son bajos y gozan de un amplio margen de mejora. Por ello es fundamental que
adquieran una postura aún más proactiva en busca de documentación (guías de ayuda,
estándares relacionados con la seguridad y más específicamente con la continuidad de
negocio) y actividades de formación similares (asistencias a charlas o desayunos de
trabajo, visitas de proveedores de servicio, talleres de trabajo, etc.).
Dicha función autodidacta tendría por objeto conocer y sobre todo entender:
• Qué es un plan de continuidad de negocio y el sistema que permite gestionar el

mismo.
• Por qué la implantación del plan requiere de un mantenimiento y una mejora continua.
• Qué ventajas proporciona el disponer de un plan de continuidad de negocio.
• Qué un plan de continuidad de negocio no consiste en realizar las copias de

seguridad y disponer de otras medidas de seguridad como antivirus, cortafuegos o
sistemas de detección y extinción de incendios. Es un proceso de respuesta que debe
ser activado cuando las medidas de seguridad preventivas no responden como la
empresa espera y por este motivo pueda derivarse una situación grave que conlleve
la detención de su actividad.
Toda estrategia de continuidad de negocio, y en general de gestión de seguridad,
debe estar basada en un proceso de análisis de riesgos previo que permita la toma
de decisiones acertadas
Las entidades deben ser capaces de entender mejor los riesgos a los que se enfrentan y
las consecuencias de no encararlos adecuadamente. La ejecución periódica de procesos
de análisis de riesgos permite:
• Conocer los procesos de negocio e identificar los activos de información más críticos
que soportan los mismos: personas, información, aplicaciones, sistemas de soporte,
proveedores de servicio, etc.
• Conocer y priorizar los riesgos que pueden dañar la disponibilidad de dichos activos.
Proponer y diseñar medidas de seguridad que minimicen los riesgos más críticos.
• Distribuir los presupuestos de seguridad de manera más racional y mejor ajustada a

las necesidades de la empresa.
• Decidir el alcance y los componentes de la estrategia de continuidad en base a los

riesgos, las debilidades de la empresa y los procesos de negocio más importantes.
Las pequeñas y microempresas declaran que los principales motivos para no

implementar planes de continuidad de negocio es que constituyen gastos innecesarios
teniendo en cuenta la baja probabilidad de que una catástrofe tenga lugar. Esta
percepción se deriva de la falta de conocimiento de los incidentes y riesgos a los que
están expuestas.
Iniciarse en la gestión de la continuidad de negocio comenzando por tareas

sencillas y contando con la colaboración de asesoramiento externo
Diseñar e implantar un plan de continuidad de negocio no es una tarea sencilla. Es

necesario conocer de antemano y en profundidad el funcionamiento de los diferentes
procesos de negocio (aprovisionamiento, ventas, facturación, contabilidad, recursos
humanos, tecnología, etc.).
Por ello es aconsejable identificar y abordar, sobre todo al inicio, aquellas tareas que
puedan calificarse como sencillas por tener un alcance delimitado y unos objetivos
definidos. Asimismo, el conocimiento, la experiencia y el sentido común que asesores
especializados y expertos de la organización pueden llegar a proporcionar resultan de
gran utilidad de cara a una adquisición más ágil de los conocimientos necesarios de
gestión.
Sentadas las bases de conocimiento y adquiridos unos mayores niveles de adecuación,
la gestión de la continuidad de negocio de las empresas debe convertirse en un proceso
sistemático de mejora continua, documentado y probado periódicamente.
Mantenerse al día de los programas impulsados por las AA.PP.
Programas como el Plan Avanza 46 , promovido por el Ministerio de Industria, Turismo y

Comercio, pretenden fomentar el uso y mejora de las nuevas tecnologías de la
información en los distintos sectores de la economía y la sociedad mediante la concesión
de subvenciones u otras facilidades.
Una buena práctica a desarrollar por parte de las PYME es adquirir el hábito de consultar
con frecuencia las bases de las campañas vigentes en la actualidad o de nuevas que
serán desarrolladas en un futuro cercano. En dichas campañas se contemplan varias
líneas de acción, abordadas en periodos concretos a lo largo del año, de ahí la
importancia de mantenerse al día y, consecuentemente, estar en disposición de solicitar
aquellas subvenciones que más se adecúen a las necesidades de la entidad en materia
de continuidad de negocio.
Implantar Sistemas de Gestión de la Seguridad de la Información (SGSI)
Abordar la implementación de este tipo de políticas permite a las organizaciones

establecer procedimientos y controles en relación a los objetivos de negocio de las
empresas, actuando como una herramienta que posibilita conocer y afrontar de manera
ordenada los riesgos a los que está sometida la información de las entidades.
La implantación de un SGSI exige de una visión global sobre el estado de seguridad de

los sistemas de información, hecho considerado como el primer paso para enfocar con
posterioridad una estrategia de continuidad de negocio.
Mantener actualizadas las medidas de seguridad preventivas
Si las medidas de seguridad están bien diseñadas y funcionan eficazmente, las posibles
incidencias de seguridad, de llegar a producirse, serán atajadas en tiempo, se
minimizarán las consecuencias y se evitará que se conviertan en problemas o incluso
situaciones de crisis más complejas de resolver.
46
Fuente: www.planavanza.es
Concienciar a las unidades o responsables más estratégicos que asumen la toma
de decisiones
La dirección, como ente que toma las decisiones y proporciona los fondos necesarios,
debe ser concienciada y debe estar convencida de la necesidad de emprender planes de
continuidad.
Para conseguir el citado apoyo de la dirección, es necesario dirigirse a la misma en

términos más tangibles y de negocio como son los costes de implantar los planes de
continuidad y los beneficios que éstos proporcionan. Otro aspecto útil en este sentido es
el cálculo del coste de la interrupción de un proceso de negocio en términos financieros,
el cual dependerá de varios factores como la pérdida de ingresos durante la interrupción,
la disminución de la productividad del trabajador e incluso la pérdida de imagen y
reputación de la organización.
Asegurar la continuidad de la cadena de suministro/abastecimiento
El estudio ha desvelado que la entrega de un producto o servicio puede depender de

varios sub-procesos que en ocasiones son responsabilidad de un tercero o proveedor de
servicio sobre el que no se establecen los correspondientes controles de supervisión. Por
tanto, la garantía de continuidad de las actividades de negocio puede estar supeditada a
la disponibilidad de dicho proveedor.
En toda estrategia de continuidad de negocio es necesario tener en cuenta la criticidad de

los servicios facilitados por terceros y establecer con los mismos aquellas exigencias y/o
requerimientos que aseguren la disponibilidad de sus servicios (auditorías periódicas de
su capacidad de recuperación ante eventos críticos, establecimiento de contratos con
cláusulas firmadas sobre la disponibilidad de los servicios ofertados, envíos periódicos de
reportes al cliente que permitan evaluar la calidad del servicio contratado, etc.).
Virtualización 47 y Cloud Computing 48 son opciones a considerar si se transmite al

proveedor de este tipo de servicios tecnológicos las garantías de continuidad
Relacionado con la recomendación anterior, en la que se aboga por establecer con los
proveedores requerimientos de disponibilidad y planes de respuesta, emergen
actualmente en España nuevas formas de entrega de servicios tecnológicos que son
interesantes en aquellas empresas cuya presencia de sistemas informáticos es
dominante o al menos significativa.
47
Virtualización: medio para crear una versión virtual de un dispositivo o recurso informático, como un servidor, un
dispositivo de almacenamiento, una red de comunicación o incluso un sistema operativo.
48
Cloud Computing o Computación en la nube en español: modelo de prestación de servicios y tecnología a través de la
red (Internet). El concepto de “nube” es una metáfora de Internet.
Es ya evidente que este modelo de servicio supone grandes ahorros para las compañías
(sobre todo en términos de adquisición de licencias y dispositivos hardware) que se
traducen en recursos tecnológicos más optimizados, así como mayor flexibilidad y
escalabilidad. Además permite la transferencia de los riesgos (no solo los relacionados
con continuidad de negocio) a un tercero (proveedor).
Sin embargo, la adopción de estos servicios también introduce una nueva oleada de
amenazas y desafíos de seguridad que deben ser afrontados:
• Almacenamiento y manejo ilícito de la información por parte del proveedor.
• Gestión de la privacidad.
• Adecuación de los proveedores a las leyes y requerimientos legales.
• Continuidad de los procesos tecnológicos por parte de los proveedores.
• Protección frente a ciberataques.
• Cifrado en tránsito y/o almacenamiento.
• Responsabilidades establecidas a nivel contractual.
Al igual que sucede con otro tipo de procesos y tecnología, el grado de penetrabilidad en
España es lento, no solo por los desafíos descritos con anterioridad, sino también por la
necesidad de transmitir al consumidor garantías de competencia y transparencia.
Por tanto, a través del presente estudio se pretende fomentar entre las PYME la
necesidad de al menos conocer este tipo de servicios sin olvidar la importancia de
evaluar a los proveedores centrándose específicamente en sus procedimientos de
continuidad de negocio y de recuperación de catástrofes, la revisión de las instalaciones
alternativas de respaldo y de los procesos de copia de seguridad.
Es decir, el plan de continuidad de negocio de una PYME debería incluir escenarios de la

pérdida de los servicios del proveedor y el testeo de esta parte del plan debería
coordinarse con el mismo mediante iniciativas como las expuestas a continuación:
• Realizar inspecciones de las instalaciones del proveedor siempre que sea posible.
• Inspeccionar los planes de recuperación ante desastres y de continuidad de negocio

(política, definición de los tiempos de recuperación objetivo, revisiones o pruebas
periódicas, etc.).
• Definir en los contratos de forma clara las obligaciones contractuales relativas a

seguridad, recuperación y acceso a los datos.
• Solicitar documentación de los controles de seguridad del proveedor, y la adherencia
a los estándares del sector.
9.2 Recomendaciones dirigidas a la industria
Desarrollar estrategias de cercanía a las pequeñas y microempresas españolas
En la actualidad existen en el mercado multitud de estrategias desarrolladas para la

implantación de planes de contingencia en las PYME, adaptadas a las necesidades y
funcionalidades detectadas en cada uno de los sectores de actividad.
En este sentido y en base a los resultados obtenidos del estudio, el bajo nivel de
implantación de estrategias de continuidad detectado no es achacable tanto a la falta de
soluciones específicas, sino a la falta de demanda de las mismas, provocada por un
desconocimiento en la materia.
Para solventar esta problemática, la industria debe ser capaz de generar la necesidad en
las empresas, adoptando una postura proactiva y desarrollando estrategias que permitan
la aproximación a las necesidades de la empresa y el aumento del nivel de
sensibilización. Algunos ejemplos pueden ser, la divulgación de los conocimientos
asociados a la continuidad del negocio, la realización de sesiones formativas enfocadas a
sectores específicos o el envío de publicaciones informativas.
Combatir la falsa sensación de seguridad de las PYME
A lo largo del estudio, se ha confirmado en varias ocasiones la percepción errónea que

estas empresas tienen de su estado de seguridad.
La industria puede jugar un papel importante a la hora de mitigar esta falsa sensación de
protección, actuando como figura informativa e instructora de las amenazas y riesgos
asociados a este colectivo.
Entre las múltiples acciones de concienciación que pueden ser llevadas a cabo se
incluyen:
• Promover la importancia de identificar las actividades críticas del negocio y los riesgos
que pueden afectar a su continuidad. Transmitir ejemplos de los riesgos reales a los
que la PYME está expuesta en base a la casuística específica de su sector de
actividad.
• Enfatizar la utilidad de desarrollar e implantar planes de continuidad de negocio y los

beneficios asociados a su implantación y correcto mantenimiento.
• Hacer partícipe a la dirección/responsables de las empresas de los planes de

concienciación llevados a cabo. Transmitir en un lenguaje claro y no técnico, los
motivos por los que es necesaria la definición de una estrategia de continuidad. La
alta jerarquía representa una figura clave en el diseño y desarrollo de un plan de
continuidad de negocio por lo que es importante obtener su apoyo e implicación
desde el principio.
• Introducir y presentar los estándares de seguridad en materia de continuidad.

Comentar los beneficios de prestigio e imagen derivados de su cumplimiento.
Trabajar de la mano con las Administraciones Públicas
Las Administraciones Públicas cuentan con recursos para conocer de primera mano las
necesidades de las organizaciones. Este hecho facilita que, manteniendo una
comunicación continua entre las AA.PP. y la industria, se puedan identificar áreas de
colaboración comunes de forma que las líneas de trabajo de ambos grupos se
complementen (sesiones formativas por sectores de actividad, establecimiento de
acuerdos para la implantación de planes de continuidad, concesión de subvenciones o
ayudas, acuerdos para realización de auditorías, etc.).
Aumentar el número de servicios ofertados a las empresas dentro del ámbito de

actuación
Ante la dificultad y desconocimiento que puede suponer para una PYME el diseño e
implantación de un plan de continuidad de negocio, puede representar un aliciente a la
hora de adquirir estas soluciones el hecho de incluir dentro del cupo de servicios
ofertados, tareas como las de revisión y actualización del plan o realización de auditorías
periódicas.
Conocer de cerca las necesidades y preocupaciones de cada compañía y ser capaz de

integrar estos factores dentro de las soluciones propuestas, puede resultar decisivo para
incrementar la confianza en relación con la continuidad de las pequeñas y
microempresas.
9.3 Recomendaciones dirigidas a las Administraciones Públicas
En su mayor parte, las pequeñas y microempresas consideran que las Administraciones

Públicas desempeñan un papel importante en la implantación de las estrategias de
continuidad y demandan, en general, un mayor apoyo por parte de las mismas.
Entre las principales medidas impulsoras demandas por las PYME a las AA.PP. para
fomentar su preparación en materia de continuidad se podrían destacar:
• Divulgación de documentación y realización de sesiones formativas.
• Compartición del conocimiento sobre casos de éxito de otras entidades que han
implementado correctamente medidas de continuidad.
• Establecimiento de condiciones para la concesión de ayudas económicas.
• Otras, como el impulso mediático para facilitar los trámites y concesión de créditos
por parte de otras entidades o la creación de asociaciones que presten estos
servicios.
Dar continuidad a la concesión de ayudas económicas sujetas a compromiso de

las empresas
Una de las principales demandas por parte de las organizaciones es la concesión de

créditos económicos que ayuden a las entidades a afrontar las fases de diseño,
desarrollo y/o implantación de un plan de continuidad de negocio.
El Plan Avanza contempla en la actualidad la adjudicación de diversos tipos de ayudas en

el marco de las tecnologías de la información y muestra intención de continuar en la
misma línea en un futuro cercano, con la reciente aprobación de la Estrategia 2011-2015
del Plan Avanza 2 49 .
La tendencia actual de este programa es promover proyectos que faciliten a las entidades
tanto la mejora de su perfil formativo como tecnológico, sometidos al cumplimiento de
unos requerimientos mínimos y específicos para cada una de las subvenciones ofrecidas.
El establecimiento de dichos criterios de cumplimiento persigue, ante todo:
• Garantizar la adecuación de las propuestas recibidas a los proyectos ofertados.
• Garantizar la viabilidad técnica, económica y financiera de la propuesta.
• Valorar la capacidad de gestión de la entidad solicitante.
En la nueva etapa que se iniciará con el Plan Avanza 2, tomando como base el Plan
Avanza y el marco europeo dónde se encuadran este tipo de iniciativas, se pretenden
abordar diversas acciones de gran alcance, definiendo un número elevado de medidas
concretas que perseguirán, entre otros objetivos, extender la cultura de la seguridad entre
la ciudadanía y las empresas.
49
Fuente: http://www.planavanza.es/Noticias/Paginas/Estrategia2011_2015dAvanza2.aspx
Promover recurrentemente la divulgación de los conceptos de continuidad de
negocio
Una buena forma de demostrar el compromiso de las AA.PP. con la concienciación de las
PYME es la convocatoria de cursos y sesiones formativas así como la publicación de
guías y manuales. Este hecho ha sido y continúa siendo impulsado a través de las
campañas englobadas dentro del Plan Avanza.
Entre los motivos por los cuales se fomentan este tipo de acciones se encuentra el
conseguir de forma gradual la adopción de buenas prácticas en las PYME. En este
sentido, las posibles líneas de recomendación futuras podrían estar enfocadas a
promover:
• Realización de análisis de riesgos periódicamente, de forma que se manifiesten las

principales debilidades de seguridad de la compañía.
• Implementación paulatina de un mayor número de medidas de seguridad enfocadas a

preservar y proteger los principales activos de la entidad, (copias de seguridad
descentralizadas, revisiones periódicas de sus sistemas, designación de
responsables).
• Enfatización de la importancia de concienciar al personal en materia de buenas

prácticas de seguridad (mediante el envío periódico de correos electrónicos,
colocación de paneles informativos en lugares visibles, facilitación de la asistencia a
cursos,…).
De nuevo, la colaboración de las administraciones y la industria es fundamental en este

sentido para lograr un enfoque de la formación flexible y adaptado al colectivo al que va
dirigido. En este sentido, la mención de ejemplos reales y cercanos a los sectores
afectados, derivados del conocimiento y experiencia de la industria, contribuirán de
manera sencilla a una mejor comprensión de porqué estas acciones resultan necesarias.
Realizar sondeos periódicos sobre el estado de seguridad de las PYME
Otra de las medidas impulsoras sugeridas por las empresas en el presente estudio es la
puesta en común de las experiencias de casos de éxito de empresas del mismo sector
que han implementado estrategias de continuidad de negocio.
La recopilación de esta información puede llevarse a cabo mediante la realización de

sondeos periódicos a las organizaciones, que incluyan un número reducido de preguntas,
con el objetivo de:
• Conocer si disponen de medidas de continuidad implantadas.
• Señalar si han sufrido incidentes en los últimos meses y, en ese caso, valorar el
impacto económico, operativo, legal y de imagen sufrido.
• Identificar los beneficios y consecuencias de haber/no haber implantado dichas

medidas de continuidad.
Estas labores de diagnóstico específico permitirán a las AA.PP. publicar estudios que
faciliten a las organizaciones conocer la evolución global de su sector en materia de
continuidad de negocio, así como conocer su posición con respecto al mercado.
Impulsar la implantación de requisitos y requerimientos legales
El 56,3% de las entidades participantes en el estudio (ver Gráfico 55) considera

importante o muy importante la definición de marcos regulatorios en materia de
continuidad de negocio. Esta impresión es igualmente compartida por expertos del sector
privado, que concluyen que ésta es una de las iniciativas más prioritarias a poner en
marcha, siempre y cuando se contemplen las diferencias entre las grandes empresas y
las PYME en lo que respecta a obligaciones, nivel de exigencia o cuantía de sanciones.
Las administraciones, tomando como base tanto este hecho, como la labor previa
realizada por organismos de la materia y la normativa existente, pueden actuar como
figuras responsables de trasladar estas preocupaciones a los organismos
correspondientes y, en un futuro, adquirir la responsabilidad de velar por el cumplimiento
legal.
ÍNDICE DE GRÁFICOS
Gráfico 1 : Distribución del uso de tecnologías de la información y las comunicaciones..19
Gráfico 2: Uso de las tecnologías de la información en las pequeñas y microempresas

(%) .....................................................................................................................................20
Gráfico 3: Distribución de las inversiones en seguridad en el año 2010 (%) ....................30
Gráfico 4: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses..........32
Gráfico 5: Causas de los incidentes de seguridad (I) (%) .................................................33
Gráfico 6: Causas de los incidentes de seguridad (II) (%) ................................................34
Gráfico 7: Distribución de empresas con pérdidas económicas derivadas de incidentes de

seguridad ...........................................................................................................................35
Gráfico 8: Distribución de pérdidas económicas derivadas de los incidentes de seguridad

...........................................................................................................................................36
Gráfico 9: Valoración cualitativa de las pérdidas económicas generadas por los incidentes
de seguridad ......................................................................................................................37
Gráfico 10: Empresas que han sufrido impactos operativos, legales/contractuales o en la

propia imagen ....................................................................................................................38
Gráfico 11: Consecuencias o impactos derivados de los incidentes de seguridad ...........39
Gráfico 12: Medidas de seguridad destinadas a garantizar la continuidad de sus

operaciones .......................................................................................................................40
Gráfico 13: Motivos por los que no implantar ninguna medida de seguridad destinada a
garantizar la continuidad de sus operaciones ...................................................................41
Gráfico 14: Empresas que realizan algún tipo de acción orientada a hacer frente a los
riesgos de continuidad (%) ................................................................................................42
Gráfico 15: Métodos utilizados por las PYME para identificar y hacer frente a los riesgos
de continuidad ...................................................................................................................44
Gráfico 16: Razones que motivan que la empresa no aborde procesos de gestión de
riesgos de continuidad de negocio ....................................................................................45
Gráfico 17: Tiempo máximo permitido de interrupción de las actividades de negocio de las
PYME.................................................................................................................................46
Gráfico 18: Empresas que exigen algún tipo de

requerimiento/certificación/medidas/planes que garanticen la continuidad de los servicios
de sus proveedores en caso de desastre..........................................................................49
Gráfico 19: Empresas familiarizadas con conceptos de continuidad de negocio (%) .......51
Gráfico 20: Empresas que tienen un conocimiento real de la diferencia entre Plan de
Continuidad de Negocio y Plan de Recuperación ante Desastres (%) .............................52
Gráfico 21: Grado de conocimiento en relación con los conceptos de continuidad de

negocio ..............................................................................................................................55
Gráfico 22: Empresas que cuentan con alguna estrategia de continuidad de negocio (%)
...........................................................................................................................................58
Gráfico 23: Empresas que consideran que estar preparadas frente a posibles
contingencias es igual de crítico que en las grandes compañías (%) ...............................60
Gráfico 24: Razones por las que las empresas no implementan planes de continuidad ..62
Gráfico 25: Empresas que prevén implantar medidas de continuidad de negocio en los
próximos 6 meses..............................................................................................................63
Gráfico 26: Empresas que establecen el alcance dentro de su estrategia de continuidad

(%) .....................................................................................................................................64
Gráfico 27: Personal dedicado a la gestión de la continuidad de negocio (%)..................65
Gráfico 28: Principales estímulos para implantar planes de continuidad de negocio........67
Gráfico 29: Componentes de continuidad de negocio en los que las PYME centran el
gasto ..................................................................................................................................68
Gráfico 30: Mecanismos utilizados por las PYME para medir la eficacia de las medidas de
continuidad ........................................................................................................................69
Gráfico 31: Tendencia del gasto incurrido en las medidas de continuidad de negocio.....70
Gráfico 32: Percepción de las PYME del nivel de adecuación del gasto destinado en 2010
a la continuidad de sus operaciones .................................................................................71
Gráfico 33: Empresas que han requerido asesoramiento externo para abordar programas
de continuidad de negocio (%) ..........................................................................................72
Gráfico 34: Motivos que inducen a las PYME a demandar asesoramiento externo en
aspectos de continuidad ....................................................................................................73
Gráfico 35: Principales servicios solicitados a terceros en materia de continuidad ..........74
Gráfico 36: Comparativa de incidencias de seguridad que afectan a la continuidad ........76
Gráfico 37: Comparativa de Tiempos Máximos de Interrupción permitidos ......................77
Gráfico 38: Comparativa del grado de implantación de Planes de Continuidad de Negocio

...........................................................................................................................................78
Gráfico 39: Evolución de los componentes del Plan de Continuidad en la gran empresa 79
Gráfico 40: Comparativa de las razones por las que las empresas no adoptan Planes de
Continuidad........................................................................................................................80
Gráfico 41: Comparativa de volumen de personal dedicado a Continuidad de Negocio ..81
Gráfico 42: Comparativa entre las formas de medir la eficacia del Plan de Continuidad de
Negocio..............................................................................................................................82
Gráfico 43: Comparativa de la tendencia en el gasto de medidas de continuidad............83
Gráfico 44: Principales motivos que han impulsado la adopción de medidas de

continuidad de negocio......................................................................................................85
Gráfico 45: Grado de implicación de la dirección en materia de continuidad de negocio .86
Gráfico 46: Principales fuentes de riesgo de interrupción de actividades de negocio

identificadas (según la dificultad para ser anticipadas y salvaguardadas) ........................87
Gráfico 47: Requerimientos identificados inicialmente para la elaboración e implantación

del plan de continuidad de negocio ...................................................................................88
Gráfico 48: Principales obstáculos afrontados en el desarrollado de la estrategia de

continuidad ........................................................................................................................89
Gráfico 49: PYME que han requerido de asesoramiento externo para abordar la
implantación de buenas prácticas de continuidad de negocio (%)....................................91
Gráfico 50: Motivos que han inducido a las PYME que han implantado buenas prácticas a
demandar asesoramiento externo para abordar planes de continuidad de negocio.........92
Gráfico 51: Factores críticos que han contribuido al éxito en la elaboración de los
procedimientos de contingencia ........................................................................................93
Gráfico 52: Periodicidad de realización de pruebas periódicas que evalúen la eficacia de
las medidas implantadas (%).............................................................................................94
Gráfico 53: Actividades abordadas por las PYME para evaluar la eficacia de los planes o
estrategias de continuidad definidas .................................................................................95
Gráfico 54: Beneficios de poseer medidas y procedimientos de actuación que garanticen

la recuperación de una contingencia grave en el menor tiempo posible...........................96
Gráfico 55: Valoración de las medidas impulsoras más adecuadas para asimilar la
importancia de estar preparados ante situaciones de crisis o desastre ..........................103
ÍNDICE DE TABLAS
Tabla 1: Distribución de la muestra del estudio en función de su actividad (CNAE-2009) y

su tamaño (número de empleados)...................................................................................25
Tabla 2: Distribución de la muestra del Barómetro de Empresas en función de su

actividad (%) ......................................................................................................................25
Tabla 3: Distribución de la muestra del Barómetro de Empresas en función del número de

empleados (%)...................................................................................................................26
Tabla 4: Niveles de error muestral por tamaño de las empresas participantes en el estudio
...........................................................................................................................................26
Tabla 5: Inversiones de seguridad en función del tamaño de la PYME (%)......................30
Tabla 6: Empresas que realizan algún tipo de acción orientada a hacer frente a los
riesgos de continuidad en función de su actividad (%)......................................................43
Tabla 7: Tiempo máximo permitido de interrupción en función de la actividad de negocio

de la PYME (%) .................................................................................................................47
Tabla 8: Sectores de actividad que exigen algún tipo de requerimiento / certificación /

medidas / planes que garanticen la continuidad de los servicios de sus proveedores en
caso de desastre (%).........................................................................................................50

su tamaño (%) ...................................................................................................................53
Tabla 10: Empresas familiarizadas con conceptos de continuidad de negocio en función

de su sector de actividad (%) ............................................................................................54
Tabla 11: Empresas que cuentan con alguna estrategia de continuidad de negocio en
función de su tamaño (%)..................................................................................................59
Tabla 12: Empresas que cuentan con alguna estrategia de continuidad en función de su
sector de actividad (%) ......................................................................................................61
www.inteco.es
www.deloitte.es
http://observatorio.inteco.es

Estudio Sobre El Estado de La PYME Española Ante Los Riesgos y La Implantación de Planes de Continuidad de Negocio - INTECO

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Estudio Sobre El Estado de La PYME Española Ante Los Riesgos y La Implantación de Planes de Continuidad de Negocio - INTECO

Uploaded by

Copyright:

Available Formats

Estudio sobre el estado de la

PYME española ante los riesgos y

Con el patrocinio de:

OBSERVATORIO DEy laLA

Pablo Pérez San-José (dirección)

Javier Rey Perille (coordinación)

Laura García Pérez

Cristina Gutiérrez Borge

INTECO quiere mencionar la participación en la realización del trabajo de campo e investigación

PUNTOS CLAVE .................................................................................................................6

I Análisis de los niveles de seguridad en la PYME española ....................................6

II Cultura y conocimiento de la PYME española en materia de continuidad de

III Análisis de los niveles de adopción de medidas o planes de continuidad de

IV Análisis comparativo de la gestión de la continuidad de negocio en la empresa

V Mejores prácticas de continuidad de negocio........................................................10

1 INTRODUCCIÓN Y OBJETIVOS ...............................................................................11

1.1 Presentación ......................................................................................................11

1.1.1 Instituto Nacional de Tecnologías de la Comunicación .................................11

1.1.2 Observatorio de la Seguridad de la Información............................................12

1.2.1 Objetivo general .............................................................................................14

1.2.2 Objetivos específicos .....................................................................................14

2 DISEÑO METODOLÓGICO .......................................................................................17

2.1 Caracterización del universo objeto del estudio ................................................18

2.2 Fases del proyecto de investigación..................................................................21

2.2.1 Fase 1: Recopilación y estudio de informes ..................................................21

2.2.2 Fase 2: Encuestas a empresas y a proveedores o expertos en continuidad de

2.2.3 Fase 3: Elaboración del informe de conclusiones finales del proyecto..........26

3 ANÁLISIS DEL NIVEL DE SEGURIDAD DE LA PYME ESPAÑOLA DESDE EL

3.2 Tipología de impactos generados por los incidentes de seguridad ...................34

3.3 Respuesta a los incidentes de seguridad por parte de las empresas................39

3.4 Madurez de los procesos de gestión de riesgos que impactan en la continuidad

3.5 Requerimiento de continuidad en los servicios facilitados por terceros o forma

4 CULTURA Y CONOCIMIENTO DE LA PYME ESPAÑOLA EN MATERIA DE

5 ANÁLISIS DE LOS NIVELES DE ADOPCIÓN DE MEDIDAS O PLANES DE

5.2 La importancia de disponer de medidas y la complejidad de gestionar los gastos

5.3 Necesidad de asesoramiento externo para la adopción de la estrategia de

6 ANÁLISIS COMPARATIVO DE LA SITUACIÓN DE LA CONTINUIDAD EN LA

7 MEJORES PRÁCTICAS DE CONTINUIDAD DE NEGOCIO.....................................84

7.1 Motivos que estimulan a la aplicación de buenas prácticas ..............................84

7.2 Buenas prácticas a adoptar ...............................................................................85

7.2.1 Desde un punto de vista estratégico..............................................................85

7.2.2 Desde un punto de vista táctico .....................................................................86

7.3 Beneficios asociados a la adopción de buenas prácticas..................................95

8.1 Análisis DAFO..................................................................................................101

8.1.1 Debilidades ..................................................................................................101

8.1.2 Amenazas ....................................................................................................102

8.1.3 Fortalezas ....................................................................................................103

9.1 Recomendaciones dirigidas a las pequeñas y microempresas .......................106

9.2 Recomendaciones dirigidas a la industria .......................................................111

9.3 Recomendaciones dirigidas a las Administraciones Públicas .........................112

INTECO, en su afán por desarrollar la Sociedad del Conocimiento a través de proyectos

Este estudio pone de manifiesto un concepto, el de Continuidad de Negocio, que la

Si bien existen múltiples definiciones acerca de la Gestión de la Continuidad de Negocio,

La metodología utilizada para la realización del estudio y la consecuente publicación del

Se muestra a continuación algunos puntos clave obtenidos tras el estudio:

I Análisis de los niveles de seguridad en la PYME española

Otros factores observados en el estudio y que denotan de nuevo el cierto nivel de

• Bajo nivel de implementación de medidas relacionadas con la adopción de procesos

• Ausencia de requerimientos de continuidad de negocio exigidos a proveedores que

• Desconocimiento sobre las pérdidas económicas derivadas de los incidentes de

• Carencia de criterios uniformes para la valoración correcta del impacto y la

II Cultura y conocimiento de la PYME española en materia de continuidad de

A la hora de valorar los resultados obtenidos en cuanto al nivel de conocimiento de