diagnóstico sobre la continuidad de negocio en las … · incidentes graves), el nivel de madurez...
TRANSCRIPT
La continuidad de negocio
en la PYME española
Congreso Continuidad de Negocio 2012
Fundación DINTEL
Madrid, 26 de septiembre de 2012
OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN
Pablo Pérez San-José
Gerente del Observatorio (INTECO)
@pabloperezsjose
2
Índice
Punto de partida
Las pymes ante los riesgos que afectan a la
continuidad de negocio
¿Cómo se preparan las pymes frente a las
contingencias?
Planes de continuidad de negocio en las
pymes españolas
Reflexiones finales
Guía práctica para pymes: cómo implantar
un Plan de Continuidad de Negocio
3
¿Por qué es necesario este diagnóstico?
1. Relevancia de la micro y la pequeña empresa en el tejido empresarial
español
Directorio Central de Empresas - INE (2011)
2. El impacto de algunos acontecimientos recientes indica la necesidad e
importancia de estar preparados
Ciberataques, catástrofes, huelgas, hacktivismo, etc.
3. Falta de concienciación, de formación y barreras de acceso en materia de
seguridad
Estudio sobre seguridad de la información y continuidad de negocio en las pymes españolas
(septiembre 2012)
4. Importancia creciente de la continuidad para las actividades empresariales:
minimización de riesgos, solvencia, confianza, etc.
5. Difundir e impulsar en la PYME la adopción de buenas prácticas y la
implantación de estándares de seguridad: ISO 27000 y la BS 25999
4
Las pymes ante los riesgos que
afectan a la continuidad de negocio
5
35,1%
35,8%
7,8%
11,7%
21,9%
22,6%
11,7%
12,5%
9,8% 6,8%
17,5%
6,9%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2012
2010
Menos de 6 horas Menos de 12 horas Menos de 24 horas Menos de 48 horas
Menos de 5 días Más de 5 días No sabe / No contesta
Tiempo máximo de interrupción
Tiempo máximo en el que una empresa puede tener interrumpidos sus principales procesos sin que
suponga un impacto crítico en su negocio
6
Incidentes de seguridad con impacto en continuidad
Evolución de las incidencias de seguridad en los últimos 3 meses que hayan impactado
en la continuidad de los procesos de negocio
56,7%
8,1%
4,4%
1,7%
1,7%
3,6%
1,4%
11,1%
16,3%
7,4%
8,9%
66,4%
1,1%
1,3%
2,7%
3,9%
5,8%
6,3%
11,2%
11,3%
15,2%
0% 10% 20% 30% 40% 50% 60% 70%
Ningún incidente
No sabe / No contesta
Incumplimiento legal / Multas, sanciones
Huelga/epidemia/baja de personal crítico
Pérdida de datos críticos
Inundación/ incendio/desastre natural
Daño físico en equipos
Ataques informáticos
Falta de servicio/suministro por parte de proveedores
Caída de sistemas/aplicaciones informáticas
Caída/avería del sistema de soporte
2012 2010
7
Medidas para garantizar la continuidad
tras haber sufrido un incidente grave
El hecho de haber padecido algún incidente de seguridad, ¿ha supuesto que la compañía haya tomado
alguna de las siguientes medidas destinadas a garantizar la continuidad de sus negocios?
54,4%
7,1%
0,1%
0,6%
0,9%
2,1%
2,2%
12,9%
19,7%
0% 10% 20% 30% 40% 50% 60%
Seguimos haciendo lo mismo
No sabe/ No contesta
Se ha contratado personal propio/servicio externo dedicado a la seguridad
Mi empresa ha dejado de utilizar ciertos servicios a través de Internet
Se ha implantado en un Sistema de Gestión de Seguridad Informática (SGSI) (ISO 27001)
Se han implantado medidas de continuidad de negocio
Se ha impartido formación sobre seguridad a los empleados
He implantado nuevas medidas de seguridad
He instalado/actualizado herramientas de seguridad
8
¿Cómo se preparan las pymes
frente a las contingencias?
Principales resultados del Estudio
9
Planificación de medidas para afrontar una situación
de crisis o desastre
Previsión de alguna estrategia o procedimiento en caso de situaciones de crisis/desastre
que afecten al negocio
15,3%
15,5%
11,0%
51,7%
6,5% Sí, elaborada e implantada
Sí, pero solo para la parte tecnológica
No, pero está previsto hacerlo
No
Ns/Nc
10
No disposición de estrategias de recuperación de la
actividad
Razón de no disponer de una estrategia que permitan mantener las actividades de negocio
ante una situación de crisis/desastre
11,9%
1,7%
0,7%
1,4%
2,4%
10,0%
11,4%
19,3%
41,2%
0% 10% 20% 30% 40% 50% 60%
No sabe / No contesta
Otra
Cuando ocurre lo solucionan ellos mismos
Por desonocimiento
No se lo ha planteado
Tengo otras prioridades de seguridad
Coste excesivo
No dispongo de personal / tiempo
Probabilidad muy reducida de crisis
11
Grado de preparación de las empresas para hacer
frente a una situación de crisis o desastre
Posición afirmada por la empresa para afrontar una situación de crisis, desastre o contingencia
29,9%
49,5%17,7%
2,9%
79,4%
Está bien preparada Está medianamente preparada No está preparada No sabe / No contesta
12
Planes de Continuidad de Negocio (PCN)
en las pymes españolas
Principales resultados del Estudio
13
Planes y políticas de seguridad en la PYME
Pymes que afirman disponer de un PCN
59,8%
12,9%
5,3%
5,2%
2,4%14,4%
No, no es necesario
Si, tenemos un PCN completo
Sí, pero solo abarca el aspecto tecnológico
No, es necesario pero no está previsto implantarlo
No, pero está previsto implantarlo
No sabe/No contesta
14
Importancia que las PYMEs otorgan como clientes
a los planes de continuidad de negocio
Organizaciones que exigen a sus proveedores de servicios algún tipo de requerimiento
o plan de gestión de la continuidad
29,6%
18,7%
66,2%
72,0%
4,2%
9,3%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2012
2010
Sí No No sabe / No contesta
15
Perfiles de empresa (clúster) según continuidad de negocio
Perfil 1: Empresas
“preparadas”
Perfil 2: Empresas
“desprevenidas”
Perfil 3: Empresas
“indiferentes”
Perfil 4: Empresas
“temerarias”
Sector Sector servicios Comercio y hostelería Industria + Comercio y
hostelería Industria
Tamaño Medianas y pequeñas Pequeñas y microempresas Microempresas Microempresas
Incidencias
Probabilidad incidentes baja. Probabilidad de incidentes alta. Probabilidad de incidentes baja. Probabilidad de incidentes alta.
Identificadas las actividades
críticas de negocio.
No están identificadas las
actividades críticas de negocio.
No están identificadas las
actividades críticas de negocio.
No están identificadas las
actividades críticas de negocio.
Respuesta
Dicen estar bien preparadas
para afrontar una situación de
crisis.
Dicen estar medianamente
preparadas para afrontar una
situación de crisis.
Dicen no estar preparadas para
afrontar una situación de crisis.
Dicen estar poco preparadas
para afrontar una situación de
crisis
Con estrategia para situaciones
de crisis / desastre.
Con estrategia para situaciones
de crisis / desastre.
Sin estrategia para situaciones
de crisis / desastre.
Sin estrategia para situaciones
de crisis / desastre.
Conocimiento e
implementación
del PCN
Conocen los PCN y tienen
implementadas medidas frente
a contingencias (BCP) y de
recuperación ante desastres
técnicos (DRP)
Conocen los PCN y tienen
implementadas medidas de
recuperación ante desastres
técnicos (DRP)
No conocen PCN y no tienen
implementadas medidas de
recuperación.
No conocen PCN y no tienen
implementadas medidas de
recuperación.
16
22,5%
23,7%44,7%
9,1%
Grupo 1: preparadas Grupo 2: desprevenidas Grupo 3: indiferentes Grupo 4: temerarias
Perfiles de empresa según seguridad / continuidad
Caracterización de las pymes según sus perfiles en materia de continuidad de negocio
17
Reflexiones finales
18
Reflexiones finales
A priori, existe todavía un amplio margen de mejora en cuanto a gestión de
continuidad de negocio en la pyme española, no solo en implantaciones de
PCN, sino también en niveles de conocimiento y concienciación, así como en
recursos.
Si bien se comienza a apreciar un crecimiento paulatino de la demanda y la
preocupación en materia de continuidad de negocio (consecuencia del eco de
incidentes graves), el nivel de madurez actual es bajo por lo que la ecuación
de coste / beneficio no está en posición de ser equilibrada
El impulso definitivo requiere de grandes dosis de coordinación y cooperación
entre instituciones, representantes sectoriales, asociaciones, proveedores de
servicios y empresas en general, ya que es un beneficio para todos
La normalización y el impulso de sistemas de gestión certificados ayuda a las
empresas a disponer de un marco de referencia adecuado y sólido
Es necesario apoyar a la pyme. Por ejemplo, con la Guía práctica para pymes:
cómo implantar un PCN.
19
A la luz de la situación de riesgo de las pymes, los PCN son una necesidad para mitigar
los impactos que actualmente generan o pueden generar interrupciones graves en la
operativa de su negocio.
La adopción de estas medidas choca de lleno con tres barreras principales:
Esfuerzos centrados en la gestión del día a día hacen evidenciar falta de recursos
Percepción errónea de “nunca pasa nada” hace que piensen que la continuidad es un
gasto innecesario.
La falta de conocimientos (“in house”) y necesidad de contar con especialistas
externos que asesoren en la implantación repercute en un incremento de los costes
Se necesita por lo tanto un impulso específico en la puesta en marcha de servicios de
apoyo para la implantación de PCNs en las pymes, a modo de ejemplo:
Formación orientada a despertar el interés y la preocupación en las pymes, así como
el conocimiento de los riesgos a los que se enfrentan
Una mayor concienciación y herramientas eficaces que permitan a la pyme rehacer el
cálculo de la ecuación de Coste / Beneficio para priorizar los recursos disponibles y
valorar las inversiones
Oferta de servicios adecuada que permita cubrir todos los ámbitos del PCN: Servicios
Tecnológicos, Operacionales, Servicios de gestión, Financieros, Legales , Logísticos
20
El plan de continuidad de negocio puede ser una herramienta eficaz para incrementar la
solvencia y la estabilidad del sistema y la solidez del tejido empresarial español:
• Incrementar la confianza mutua entre empresas
• Garantizar el cumplimiento de los compromisos adquiridos con:
o Clientes
o Inversores y accionistas
o Administración e instituciones
• Mayor estabilidad en las operaciones entre empresas disminuyendo los riesgos asociados
a proveedores.
Grandes empresas empiezan a imponer criterios de continuidad (ej: mediante SLA con
proveedores) para garantizar tasas de productividad acordes a sus expectativas de
negocio.
Sin embargo, todavía no son muchas las empresas que exigen de forma sistemática
garantías sobre la continuidad de servicio a los proveedores
21
Las empresas valoran más conocer experiencias de otras empresas similares, para
tener una referencia definida. Existen numerosas casos de éxito en España que pueden
ser de ayuda. Los requerimientos regulatorios, aún laxos en España, no se identifican
como una herramienta útil para el incentivo en la adopción de PCN entre las pymes.
Por lo tanto, las políticas públicas y las iniciativas sectoriales y privadas deben
contribuir a impulsar estrategias concretas y más ajustadas a las necesidades de la
PYME, por ejemplo:
• Creación de plataformas para la gestión de incidentes mediante el respaldo mutuo
• Foros de trabajo para compartir conocimientos y experiencias en la adopción de
planes de continuidad de negocio
• Ampliar las políticas de incentivo de los planes de continuidad de negocio en
aquellos sectores más estratégicos de la economía española
El diagnóstico y seguimiento de la adopción de estas medidas y políticas
(estudios/indicadores) y la labor de concienciación (guías/campañas) son el primer paso
en un camino mucho más largo
22
INTECO y la continuidad de negocio
23
Estudio sobre seguridad de la información y
continuidad de negocio en las pymes españolas
http://observatorio.inteco.es
Objetivos del estudio
Protección y prevención frente a riesgos.
Incidencias, consecuencias y respuestas.
E-confianza
Recomendaciones y buenas prácticas
Ámbitos del estudio
SEGURIDAD DE LA INFORMACIÓN
Y E-CONFIANZA
THINK TANK CON EXPERTOS CUALIFICADOS
ENCUESTA A
EMPRESAS
ENTREVISTAS EN
PROFUNDIDAD
ANÁLISIS DOCUMENTAL
Metodología de investigación
CONTINUIDAD DE NEGOCIO
24
Guía práctica para pymes: cómo implantar
un Plan de Continuidad de Negocio
A quién va dirigida
Utilidad de la guía
Repercusión
http://observatorio.inteco.es
http://observatorio.inteco.es
@ObservaINTECO
Muchas gracias