En otros post, hemos hablado de la conveniencia de establecer un Plan de Contingencias TIC ante los riesgos reales a los que estamos sometidas todas las empresas, en un entorno con una fuerte presencia digital en el que nos apoyamos todos en mayor o menor medida, a lo que habitualmente llamamos riesgos de ciberseguridad.
Por una parte, no podemos ser ajenos a nuestra vinculación con el desarrollo creciente de un mundo más tecnológico y digitalizado, y por otra parte, tampoco podemos ser ajenos al mayor riesgo al que están expuestos nuestros activos digitales.
Todo esto esta muy bien, pero da la sensación de algo etéreo y difuso que nos produce dudas con relación a cuál debería ser nuestra actuación. Esta sensación se suele producir por la falta de concreción, así que en este post nos hemos propuesto analizar y ponerle nombre a cada unos de los riesgos o contingencias más comunes de las que pretendemos protegernos.
En el marco de un entorno caracterizado por las consideraciones anteriores, vamos a centrar nuestro análisis en los elementos afectos al entorno del sistema de información y comunicación (TIC), ya que son los que más sufren las consecuencias del proceso de digitalización.
Los efectos de sufrir una contingencia no deseada
Antes de analizar cada uno de los riesgos que pretendemos cubrir a nivel TIC debemos reflexionar sobre los efectos que puedan tener sobre la empresa.
En este sentido, lo primero que tenemos que tener en cuenta, es que los efectos de los riesgos que queremos evitar van asociados siempre a un tiempo de inactividad, al incumplimiento normativo legal, o a la violación de algún requerimiento interno crítico, que sufrirá la empresa como consecuencia de que se haya producido una determinada contingencia. Cuando nos referimos a la inactividad nos referimos tanto al hecho de que la empresa sufran una paralización absoluta, como al hecho de que pueda trabajar pero en condiciones muy poco eficaces y eficientes por el motivo apuntado.
Es habitual, cuando nos planteamos esta cuestión, reflexionar sobre los efectos que sufrimos de forma directa, pero nos olvidamos, muchas veces, de los efectos indirectos. Por este motivo, vamos a enfocar las consecuencias de una situación no deseada desde esta doble perspectiva:
- Efectos DIRECTOS. Consideramos en este grupo las perdidas reales (mas gastos y menos ingresos) que se hayan podido producir directamente relacionadas con el tiempo de inactividad , y las perdidas de activos materiales directamente provocados por causa de la contingencia. Vamos a concretar algunos ejemplos que se presentan habitualmente:
- Pérdida de los datos, lo que supone la perdida de información relevante para la gestión y la toma de decisiones. A nuestro juicio, este es uno de los problemas más graves porque si no existe un respaldo adecuado, no se podrá recuperar nunca este valioso activo digital, que además de ser crítico para gestionar la empresa, es fundamental para desarrollar nuestro conocimiento sobre el negocio.
- Pérdida de rentabilidad. La inactividad implica la paralización de los los procesos a lo largo de la cadena de valor, lo que supone no poder cumplir con los compromisos en plazo. Esto puede suponer:
• La pérdida de ingresos, como puede ser la perdida de pedidos de clientes o incluso de clientes.
• Incurrir en nuevos gastos no imputables a clientes, como los costes de subactividad (por encima de la normalidad), obsolescencia de stock (según sectores), recursos dedicados a restablecer la actividad, etc.…
- Pérdida de activos. Nos referimos a la perdida de activos en general excluyendo los datos (activo digital comentado anteriormente). En algunos casos, el perjuicio no afecta tanto a la funcionalidad del activo, como a los recursos que debemos dedicar para su nueva puesta en marcha.
- Incumplimiento de la normativa legal. En este área, uno de los problemas mas graves con los que nos podemos encontrar es el incumplimiento de la Ley de Protección de Datos (LPD), cuyas consecuencias nos pueden llevar a penalizaciones de hasta el 4% de los ingresos anuales.
- Pérdida de los datos, lo que supone la perdida de información relevante para la gestión y la toma de decisiones. A nuestro juicio, este es uno de los problemas más graves porque si no existe un respaldo adecuado, no se podrá recuperar nunca este valioso activo digital, que además de ser crítico para gestionar la empresa, es fundamental para desarrollar nuestro conocimiento sobre el negocio.
- Efectos INDIRECTOS. Consideramos en este grupo las perdidas reales que se hayan podido producir indirectamente relacionadas con el tiempo de inactividad. A efectos de concretar estas situaciones podemos establecer 3 grandes grupos:
- Costes de oportunidad. Consideramos en este caso, los ingresos que dejamos de percibir como consecuencia de una situación de inactividad continuada, frente al coste que supondría tener cubierto dicho riesgo durante el mismo periodo.
- Costes asociados a facilitar de situaciones no deseadas, Nos referimos a aquellas situaciones que un estado de inactividad inducen de una forma segura. Uno de los efectos más perjudiciales es que tus clientes prueben o se relacionen con tu competencia. Esta situación es especialmente grave, ya que no sólo les estas empujando a tus clientes a conocer otras soluciones del mercado, sino que además, le estas dado a tu competidor buenos argumentos comerciales para perderlo.
- Uso inadecuado de información. Nos referimos en este caso a los perjuicios ocasionados por el uso inadecuado de información interna de la empresa. Estos perjuicios son directamente proporcionales al interés que dicha información que pueda tener en el destinatario no autorizado.
- Costes de oportunidad. Consideramos en este caso, los ingresos que dejamos de percibir como consecuencia de una situación de inactividad continuada, frente al coste que supondría tener cubierto dicho riesgo durante el mismo periodo.
Una valoración razonable de estos efectos no deseados es importante para analizar la conveniencia de cubrir los riesgos que los provocan.
Por tanto, una vez que hemos reflexionado sobre estos efectos de contingencias no deseadas, vamos a analizar los riesgos que nos pueden inducir a una de estas situaciones comentadas.
Contingencias de las que necesitamos cubrirnos en un mundo digital.
Cuando hablamos de contingencias es importante separarlas por probabilidad de ocurrencia (riesgo) y por su impacto en el desarrollo de la viabilidad de la empresa, ya que no es lo mismo cubrir el riesgo de una contingencia que consideremos con poca probabilidad de que suceda pero con un fuerte impacto en la viabilidad del negocio, que otro que consideremos muy probable que ocurra pero con un bajo impacto.
En nuestro caso, dada la dificultan que supone estimar genéricamente estas variables, ya que existe una fuerte relación con el tipo de actividad de que se trate, nos centraremos en analizar solamente los riesgos a proteger.
En este sentido, vamos a clasificar los riesgos más habituales asociados a contingencias no deseadas agrupados por su naturaleza:
- Riesgo de Inactividad. Como hemos comentado anteriormente, en este caso nos referimos tanto al hecho de que la empresa sufran una paralización absoluta, como al hecho de que pueda trabajar pero en condiciones muy poco eficaces y eficientes. Podemos destacar 2 grandes tipos de riesgos:
- Por Imposibilidad de acceso a activos críticos. En este caso, podemos considerar dos situaciones:
- Aquellas que afectan a la perdida o destrucción de activos.
- (Riesgo 1) Pérdida de datos, lo que implica una paralización del sistema de información y gestion de la empresa. Esto puede ser producido por ataques cibernéticos, borrado involuntario, etc…
- (Riesgo 2) Pérdida de los sistemas de respaldo al sistema de información y gestión.
- (Riesgo 3) Pérdida de parcial o total de la infraestructura informática.
- Etc….
- Aquellas que afectan a las condiciones operativas del activo:
- (Riesgo 4) Parada de todos los sistemas informáticos (por falta de suministros, etc..).
- (Riesgo 5) Parada temporal del sistema de información y gestión por motivos técnicos y de mantenimiento.
- Etc…
- Aquellas que afectan a la perdida o destrucción de activos.
- Por funcionalidad anormal de activos críticos, lo que afecta significativamente al rendimiento del trabajo. En este caso, podemos considerar dos situaciones:
- Aquellas que se producen periódicamente:
- (Riesgo 6) Influencia negativa de las pruebas necesarias para la validación de modificaciones del sistema de gestión e información.
- (Riesgo 7) Obsolescencia de datos, lo que supone que nuestro sistema de información trabaje con datos de baja calidad, lo que provoca errores en los procesos de gestión. Esta situación es común en sistemas que acepta la inconsistencia de los datos.
- Etc…
- Aquellas que no se vinculan con una periodicidad segura:
- (Riesgo 8) Modificaciones no autorizadas de los datos provocando perdida de la calidad de los mismos, lo que provoca errores en los procesos de gestión.
- (Riesgo 9) Bajo rendimiento del sistema informático debido a la ejecución de procesos no autorizados con gran consumo de recursos.
- Etc…
- Aquellas que se producen periódicamente:
- Por Imposibilidad de acceso a activos críticos. En este caso, podemos considerar dos situaciones:
- (Riesgo 10) Riesgo de contingencias legales adversas. En este punto queremos destacar la importancia que sobre el tratamiento de los datos tiene la normativa sobre Protección de Datos de carácter personal (LPD). Además, existen otras normativas que requieren la creación de planes de contingencias que aseguren la viabilidad de los negocios de determinados sectores como son los seguros, etc… Estas normativas inciden mucho en las medidas de seguridad y protección de los activos críticos de forma que su incumplimiento lleva asociado multas de gran envergadura en algunos casos.
- Riesgos de Seguridad. Nos referimos a la protección de datos contra accesos no autorizados y para protegerlos de una posible corrupción durante todo su ciclo de vida. Seguridad de datos incluye conceptos cómo encriptación de datos, tokenización y prácticas de gestión de claves que ayudan a proteger los datos en todas las aplicaciones y plataformas de una organización. Básicamente, queremos protegernos de riesgos que de alguna manera ya se han comentado anteriormente:
- Acceso no autorizado al sistema de información cuyos efectos pueden ocasionar:
- Perdida o secuestro de datos.
- (Riesgo 11) Utilización de los datos por destinatarios indeseados (externos o internos a la empresa).
- Etc…
- Corrupción de los datos y procesos.
- La corrupción siempre lleva implícita la perdida de calidad del dato, lo que conlleva grandes perdidas por errores en los procesos de gestión.
- (Riesgo 12) Ejecución de procesos no autorizados, que pueden tener una finalidad espía o simplemente la disposición de recursos informáticos.
- Etc…
- Acceso no autorizado al sistema de información cuyos efectos pueden ocasionar:
Conclusiones
En la practica, los tres grupos de riesgos apuntados anteriormente tienen la misma importancia y se complementan, ya que de nada sirve cubrir las contingencias derivada de la inactividad de la empresa, si luego como consecuencia de problemas en los sistemas de seguridad, se hace un uso mal intencionado de los datos que provocan grandes problemas en los procesos de gestión. De nada sirve proteger un activo (datos, etc..) si no protege también su calidad y funcionamiento.
Puestos a plantearnos cubrir una contingencia es importante valorar 2 cosas:
- La probabilidad de ocurrencia (riesgo de que ocurra)
- Las perdidas reales que supondrían para la empresa los efectos asociados a dicha contingencia.
- Que la protección sea integral.
Es habitual que las razones que nos llevan a plantearnos la necesidad de cubrir las contingencias se originen en alguna de las siguientes causas:
- Por imperativo legal (como es el caso de las compañías de seguros, etc..)
- Por imperativo de un proveedor o cliente (con posición dominante en la relación empresarial)
- Por no exponerse a riesgos no deseados de forma libre.
Aunque las empresas suelen interesarse en protegerse de las contingencias TIC debido a las dos primeras razones apuntados anteriormente, la nueva situación digital en la que convivimos está favoreciendo un incremento de empresas que no quieren exponerse a riesgos no deseados por un tema de responsabilidad, ya que la contingencia se producirá antes o después, pero lo que no sabemos es cuándo. Esto es como fumar, sabemos que es malo y que si no dejamos el hábito, tarde o temprano, podemos tener un problema de salud importante, el problema es que no asumimos que nos pueda pasar a nosotros.
Si te ha interesado este POST te invitamos a que leas también: