La nueva publicación electrónica editada por la Fundació Parc Científic Universitat de València (FPCUV), que cuenta con el apoyo de la Conselleria d’Innovació, Universitats, Ciència i Societat Digital, analiza la necesidad de implementar en las empresas los sistemas de gestión de continuidad del negocio
Tener un sistema de gestión de continuidad del negocio (SGCN) fiable se ha convertido en uno de los objetivos prioritarios para las organizaciones, principalmente por la globalización y exigencia de los clientes y los usuarios. Para mantener una ventaja competitiva, las empresas no pueden permitirse tener interrupciones en su negocio, por lo que se vuelve fundamental disponer de garantías para responder a cualquier situación que pueda poner en riesgo la continuidad de la actividad. La nueva publicación del Fundació Parc Científic Universitat de València (FPCUV), con el título Buenas prácticas en la continuidad TIC de las organizaciones. De la implementación a la certificación, se centra en la importancia de una correcta administración, planificación, seguimiento, control y mejora continua de la estrategia de continuidad de negocio de la organización para asegurar su operación crítica en caso de una contingencia.
“Cada vez más las empresas y organizaciones tanto de índole público como privado basan su actividad en los sistemas de información. La infraestructura tecnológica que soporta estos sistemas pasa a formar parte de uno de sus principales activos. La interrupción de dicha infraestructura puede provocar perjuicios de diversa índole, no solo económicos sino también reputacionales”, explica Mariano Serra, responsable de los sistemas TIC de la FCPUV, coordinador de la monografía junto con Jorge Edo, director de Área IT Mobiliza Academy y socio director de Mobiliza Consulting.
La publicación electrónica presenta buenas prácticas como el estándar internacional ISO 22301, las definidas por entidades como el National Institute of Standards and Technology (NIST) organismo dependiente del gobierno de EEUU, el Instituto Nacional de Seguridad (INCIBE), del Gobierno de España, y los casos de éxito en la implantación de un SGCN en sectores como el sanitario, portuario y de infraestructuras científicas. “Todas ellas tienen en común la identificación de las potenciales amenazas a las que se pueden enfrentar la organización, los impactos sobre las operaciones que dichas amenazas puedan causar y la gestión de la recuperación de las actividades en caso de producirse una interrupción”, añade Serra.
“Cada vez más las empresas y organizaciones públicas y privadas basan su actividad en los sistemas de información y la infraestructura tecnológica que los soporta se tornan en uno de sus principales activos. La interrupción de dicha infraestructura puede provocar perjuicios de diversa índole, no solo económicos sino también reputacionales”, Mariano Serra, responsable de los sistemas TIC de la FCPUV
Mitos y reticencias
Otro elemento a destacar, señala Edo, se refiere a la existencia de reticencias de las empresas a aplicar sistemas de continuidad, un hecho que se explica por “el desconocimiento” o “la falta de implicación de la dirección en el proyecto”. “En un proyecto de este alcance, el liderazgo a alto nivel es clave. Es frecuente que surjan reticencias de gerencia de las organizaciones, en especial en las pymes, al no ver necesario invertir recursos hasta que no se haya producido el incidente de ciberseguridad, cuando resulta demasiado tarde plantear una estrategia de continuidad adecuada”, advierte el especialista.
Uno de los mitos en torno a los Planes de Continuidad en las organizaciones reside en la idea equivocada de que solo compensa desarrollarlos en grandes empresas y multinacionales, "pensando que estas cuestiones no afectan a las pymes o micropymes”, subraya Edo, quien recuerda que un plan de continuidad puede desarrollarse tanto para grandes, como pequeñas o medianas empresas. "En este punto es clave determinar, mediante un análisis de riesgos detallado, los procesos clave de la organización, los cuales van a requieren estrategias de recuperación adecuadas”, añade.
Según un estudio publicado recientemente por la consultora Deloitte, ‘El estado de la Ciberseguridad en España’, el 94% de las empresas españolas ha sufrido, al menos, un incidente grave de ciberseguridad en 2021. “A lo que hay que sumar que España se sitúa en el tercer puesto de los países que más ataques está recibiendo, cuyo número está aumentando de forma exponencial. De las empresas atacadas, una gran parte corresponde a pymes y micropymes”, recalca el director de Área IT Mobiliza Academy y socio director de Mobiliza Consulting.
“España se sitúa en el tercer puesto de los países que más ataques recibe, y cuyo número está aumentando de forma exponencial. De las empresas afectadas, una gran parte corresponde a pymes y micropymes”, Jorge Edo, director de Área IT Mobiliza Academy y socio director de Mobiliza Consulting
Recomendaciones de implementación de un SGCN
Entre las principales recomendaciones a tener en cuenta, Edo destaca que las organizaciones deben ser “proactivas en lugar de reactivas”, aunque lamenta que la mayor parte de los planes de continuidad de negocio y de continuidad TIC se desarrollen en detalle "cuando la empresa ha sufrido en carne propia un desastre que afecta a la continuidad de los procesos de la organización".
Ante posibles amenazas, este experto sugiere utilizar como base para desplegar el Plan de Continuidad un marco de buenas prácticas como la ISO 22301. "En el apartado 2, 'Buenas prácticas en Continuidad de Negocio’, además se recoge en detalle las recomendaciones de los marcos del NIST y del INCIBE relativos a continuidad. Para una información más completa, se aconseja revisar el apartado 5, donde se recoge de forma práctica cómo tres organizaciones distintas han abordado la continuidad", sugiere Edo.
El e-book recoge casos prácticos del sector portuario, el Instituto de Física Corpuscular (IFIC) y de Novasalud
Descarga el e-book
Para poder acceder a este nuevo libro electrónico que te ofrece la FPCUV sobre la implementación y la certificación de los sistemas de gestión de continuidad del negocio (SGCN), visita el siguiente enlace.
Otras referencias
- El análisis de ciberamenazas nacionales e internacionales, su evolución y tendencias futuras del Centro Criptológico Nacional (CCN-CERT) https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/6786-ccn-cert-ia-24-22-ciberamenazas-y-tendencias-edicion-2022-1/file.html
- European Union Agency for Cybersecurity (ENISA) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
- Informe anual de las principales tendencias en ciberseguridad de la agencia Gartner https://www.gartner.com/en/doc/760806-top-trends-in-cybersecurity
- Digital Defense Report de Microsoft https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022
Con el apoyo de
