Todas las empresas se crean con una finalidad y para alcanzar unos objetivos en unas condiciones normales de mercado, que podemos llamar condiciones básicas de competencia. El problema que se nos plantea es cuándo nos toca enfrentarnos a situaciones no deseadas por causas ajenas al negocio o al desarrollo normal de su actividad.
Estas situaciones se caracterizan por no tener un carácter recurrente y cierto, por lo que cuando se producen, no estamos acostumbrados a enfrentarnos a estas, y solo una buena planificación y entrenamiento pueden hacer que minimicemos los efectos adversos que nos puedan ocasionar, y sobre todo, aquellos que puedan hacer peligrar la continuidad del negocio.
Precisamente son las características de no recurrencia y de incertidumbre las que hacen que algunas empresas valoren muy baja la probabilidad de sufrir estas situaciones y, por tanto, no dedican los recursos necesarios para cubrir estos riesgos, a lo que habitualmente llamamos riesgos de ciberseguridad.
Pues bien, este es el primer error conceptual, “estas empresas perciben lo que se llamamos una probabilidad de riesgo “acomodado”, es decir, un nivel de riesgo ajustado a su percepción de hoy en un escenario muy favorable, descartando una posible realidad que vendrá. También es habitual subestimar el coste que tendría para la empresa un escenario desfavorable, tanto por la perdida de activos, como por la interrupción de la actividad normal, y finalmente por los trabajos para el restablecimiento de la situación original.
En este sentido, el riesgo TIC (Tecnologías de la Información y Comunicación), en el contexto actual en el que vivimos, suele ir más en consonancia con el diferimiento en el tiempo de una situación no deseada, cuya indeterminación no es saber si sucederá, sino saber cuándo. Es decir, es innegable que va a suceder alguna incidencia, lo que no sabemos es cuando.
Los ataques a los sistemas de información por parte de algunos Hackers maliciosos está a la orden del día, y cada vez que se detecta una vulneración de un sistema operativo o cualquier otro programa, se abre una oportunidad temporal para que estos especialistas se salten las barreras naturales de seguridad y proceder a cumplir sus objetivos. ¿Quién no conoce a alguien que no haya sufrido algún tipo de problema?.
Debido a los diversos peligros a los que está expuesto el mundo digital, cuyos riesgos son altos, tanto en el plano de la ocurrencia, como en su recurrencia, consideramos que es prioritario establecer un Plan de Contingencias TIC para todas las empresas que tengan expuestos sus procesos críticos de negocio en el uso de tecnologías informáticas.
Hoy en día, esto nos afecta prácticamente a todas las empresas, pero no tenemos que verlo como un problema, sino como un proceso más de gestión, ya que de lo que se trata es de que cada organización establece las medidas necesarias y proporcionales a sus necesidades para garantizar su continuidad en caso de desastre, por lo que la solución no pasa por una fuerte inversión, sino por lo que requiera cada caso. Además, la reducción de los costes tecnológicos que suponen estas acciones, hace que cualquier tamaño de empresa pueda a cometer este proceso, es un problema de concienciación, no de viabilidad.
Pensemos que la información es el activo más importante de una empresa hoy en día, y su pérdida podría interrumpir la continuidad de nuestro negocio, así como afectar a la imagen que proyectamos ante nuestros clientes y proveedores.
Las acciones que debemos acometer para evitar riesgos no deseados deberían realizarse en los siguientes ámbitos de aplicación:
Para saber qué hacer cuando se vulnera cualquier ámbito de seguridad apuntado anteriormente, se debe de disponer del plan de contingencias TIC, ya que sólo una buena planificación y entrenamiento nos permitirán acometer una situación no deseada para la que no tenemos ninguna experiencia.
Es habitual que cuando nos enfrentamos a evaluar los riesgos de una contingencia que pensamos proteger, no tengamos presente toda la información de valor deseable para hacer una valoración lo más objetiva posible. Esto es lógico, porque afortunadamente las personas tratamos de olvidarnos de los momentos malos para protegernos una realidad no deseada.
No obstante, es bueno, de vez en cuando, hacer una reflexión sobre acontecimientos pasados que nos pueden ayudar a objetivizar los riesgos reales con los que convivimos. En este sentido, vamos a destacar algunas contingencias que hemos padecido:
Sin lugar a dudas, una buena prevención es la mejor manera de vivir tranquilos y afrontar aquellos riesgos, que aunque parezcan lejanos, podemos padecerlos en cualquier momento.
Poniendo algunos números a esta situación, la cámara de comercio de Londres, facilitó algunos datos estadísticos en la recuperación de siniestros:
Aunque existe la creencia de que la elaboración de planes de este tipo es una acción reservada a grandes empresas, esto no es cierto. Cada organización establece las medidas necesarias y proporcionales a sus necesidades para garantizar su continuidad en caso de desastre y, además, la reducción del coste de la tecnología utilizada, hace que sea un gastos muy asumible por cualquier tipo de empresa.
Solo una buena planificación y entrenamiento pueden hacer que minimicemos los efectos adversos que nos puedan ocasionar una contingencia no deseada, y sobre todo, aquellos que puedan hacer peligrar la continuidad del negocio.
Debido a los diversos peligros a los que está expuesto el mundo digital, cuyos riesgos son altos, tanto en el plano de la ocurrencia, como en su recurrencia, consideramos que es prioritario establecer un Plan de Contingencias TIC para todas las empresas que tengan expuestos sus procesos críticos de negocio en el uso de tecnologías informáticas.
Si te ha interesado este POST te invitamos a que leas también: