¿POR QUÉ ESPERAR EL DESASTRE? ELABORA UN PLAN DE CONTINGENCIA

  • Actualizado: 1 marzo 2023
  • Publicado por primera vez: 27 noviembre 2018
Paco Ramírez Fominaya

plan de contingencia

 

Todas las empresas se crean con una finalidad y para alcanzar unos objetivos en unas condiciones normales de mercado, que podemos llamar condiciones básicas de competencia. El problema que se nos plantea es cuándo nos toca enfrentarnos a situaciones no deseadas por causas ajenas al negocio o al desarrollo normal de su actividad.

Estas situaciones se caracterizan por no tener un carácter recurrente y cierto, por lo que cuando se producen, no estamos acostumbrados a enfrentarnos a estas, y solo una buena planificación y entrenamiento pueden hacer que minimicemos los efectos adversos que nos puedan ocasionar, y sobre todo, aquellos que puedan hacer peligrar la continuidad del negocio. 

Precisamente son las características de no recurrencia y de incertidumbre las que hacen que algunas empresas valoren muy baja la probabilidad de sufrir estas situaciones y, por tanto, no dedican los recursos necesarios para cubrir estos riesgos, a lo que habitualmente llamamos riesgos de ciberseguridad

Pues bien, este es el primer error conceptual, “estas empresas perciben lo que se llamamos una probabilidad de riesgo “acomodado, es decir, un nivel de riesgo ajustado a su percepción de hoy en un escenario muy favorable, descartando una posible realidad que vendrá. También es habitual subestimar el coste que tendría para la empresa un escenario desfavorable, tanto por la perdida de activos, como por la interrupción de la actividad normal, y finalmente por los trabajos para el restablecimiento de la situación original. 

En este sentido, el riesgo TIC (Tecnologías de la Información y Comunicación), en el contexto actual en el que vivimos, suele ir más en consonancia con el diferimiento en el tiempo de una situación no deseada, cuya indeterminación no es saber si sucederá, sino saber cuándo. Es decir, es innegable que va a suceder alguna incidencia, lo que no sabemos es cuando.

Los ataques a los sistemas de información por parte de algunos Hackers maliciosos está a la orden del día, y cada vez que se detecta una vulneración de un sistema operativo o cualquier otro programa, se abre una oportunidad temporal para que estos especialistas se salten las barreras naturales de seguridad y proceder a cumplir sus objetivos. ¿Quién no conoce a alguien que no haya sufrido algún tipo de problema?.
 

Las contingencias en el entorno TIC

Debido a los diversos peligros a los que está expuesto el mundo digital, cuyos riesgos son altos, tanto en el plano de la ocurrencia, como en su recurrencia, consideramos que es prioritario establecer un Plan de Contingencias TIC para todas las empresas que tengan expuestos sus procesos críticos de negocio en el uso de tecnologías informáticas.

Hoy en día, esto nos afecta prácticamente a todas las empresas, pero no tenemos que verlo como un problema, sino como un proceso más de gestión, ya que de lo que se trata es de que cada organización establece las medidas necesarias y proporcionales a sus necesidades para garantizar su continuidad en caso de desastre, por lo que la solución no pasa por una fuerte inversión, sino por lo que requiera cada caso. Además, la reducción de los costes tecnológicos que suponen estas acciones, hace que cualquier tamaño de empresa pueda a cometer este proceso, es un problema de concienciación, no de viabilidad.

Pensemos que la información es el activo más importante de una empresa hoy en día, y su pérdida podría interrumpir la continuidad de nuestro negocio, así como afectar a la imagen que proyectamos ante nuestros clientes y proveedores.

Las acciones que debemos acometer para evitar riesgos no deseados deberían realizarse en los siguientes ámbitos de aplicación:

  • Gestión de acceso e identidad. Son todas las medidas de control de acceso y autentificación.
  • Seguridad en el puesto de trabajo. En este caso, es muy habitual pensar sólo en la protección anti-fraude (spam, etc..) y anti-malware (virus, etc..), pero no debemos subestimar la posibilidad de fuga de información, protección de las comunicaciones y la seguridad en los dispositivos móviles, que es una de las herramientas de trabajo que más se está expandiendo.
  • Seguridad en aplicaciones y datos.
  • Seguridad en los sistemas.
  • Seguridad en la red.

 

Para saber qué hacer cuando se vulnera cualquier ámbito de seguridad apuntado anteriormente, se debe de disponer del plan de contingencias TIC, ya que sólo una buena planificación y entrenamiento nos permitirán acometer una situación no deseada para la que no tenemos ninguna experiencia. 

EBOOK GRATIS: Guía rápida de Automatización para las Empresas de Servicios


Algunas situaciones que nadie pensó que pasarían.

Es habitual que cuando nos enfrentamos a evaluar los riesgos de una contingencia que pensamos proteger, no tengamos presente toda la información de valor deseable para hacer una valoración lo más objetiva posible. Esto es lógico, porque afortunadamente las personas tratamos de olvidarnos de los momentos malos para protegernos una realidad no deseada.

No obstante, es bueno, de vez en cuando, hacer una reflexión sobre acontecimientos pasados que nos pueden ayudar a objetivizar los riesgos reales con los que convivimos. En este sentido, vamos a destacar algunas contingencias que hemos padecido:

  • En el año 2017, se produjo un enorme ciberataque a través del virus conocido como ransomware. Este ataque afectó, entre otros, a los equipos de la sede de Telefónica en Madrid, al sistema de salud británico o el ministerio del Interior ruso. El  ransomware  consistía en un secuestro exprés de datos sobre los que se pedía un rescate para liberar el sistema. Kaspersky Lab (empresa de seguridad informática) estimó que se habían registrado en un día más de 45.000 ataques en 74 países ¿Alguien podía pensar que esto le podía suceder?

  • A finales del año 2017, un incendio de una importante fabrica de BASF afectó a la producción mundial de vitamina A y E y varios carotenoides. Esto tuvo una incidencia importante en los precios en el mercado mundial de algunos productos y un efecto muy negativo en algunos sectores debido al tiempo de recuperación a la situación inicial.

  • El sistema telemático para gestionar las notificaciones entre los juzgados y los profesionales del sector, un sistema que quedó fuera de juego tras descubrirse un grave fallo informático. El problema afectó a cientos de miles de abogados y procuradores, que nunca pudieron pensar que esto pudiera fallar, con la consiguiente perdida de información sobre los casos en marcha.

  • La Torre Windsor fue una torre de oficinas de Madrid que sufrió un incendio que la destruyó completamente. Tenía 106 metros de altura y 32 plantas, y estaba situada en pleno centro financiero de la ciudad. En la Torre Windsor estaba situada la central en España de Deloitte donde trabajaban sus más de 1200 empleados y tres departamentos del despacho de abogados  Garrigues. Fue destruida por un incendio el 12 de febrero de 2005. Se estimaron unas fuertes perdidas de las empresas que estaban ubicadas en dicho edificio, muchas de las cuales desaparecieron o tuvieron un impacto muy negativo.

Sin lugar a dudas, una buena prevención es la mejor manera de vivir tranquilos y afrontar aquellos riesgos, que aunque parezcan lejanos, podemos padecerlos en cualquier momento.

Poniendo algunos números a esta situación, la cámara de comercio de Londres, facilitó algunos datos estadísticos en la recuperación de siniestros:

  • El 43% de las organizaciones que sufren un siniestro no podrán continuar su actividad.
  • El 80% restante, cerrará en menos de 13 meses.
  • El 53% de las empresas afectadas no recuperan las pérdidas causadas por el daño directo o indirecto.

Conclusiones

Aunque existe la creencia de que la elaboración de planes de este tipo es una acción reservada a grandes empresas, esto no es cierto. Cada organización establece las medidas necesarias y proporcionales a sus necesidades para garantizar su continuidad en caso de desastre y, además, la reducción del coste de la tecnología utilizada, hace que sea un gastos muy asumible por cualquier tipo de empresa.

Solo una buena planificación y entrenamiento pueden hacer que minimicemos los efectos adversos que nos puedan ocasionar una contingencia no deseada, y sobre todo, aquellos que puedan hacer peligrar la continuidad del negocio.

Debido a los diversos peligros a los que está expuesto el mundo digital, cuyos riesgos son altos, tanto en el plano de la ocurrencia, como en su recurrencia, consideramos que es prioritario establecer un Plan de Contingencias TIC para todas las empresas que tengan expuestos sus procesos críticos de negocio en el uso de tecnologías informáticas.

 

EBOOK GRATIS: El Checklist para elegir un buen ERP

 

Si te ha interesado este POST te invitamos a que leas también:

  •