La nova publicació electrònica editada per la Fundació Parc Científic Universitat de València (FPCUV), que compta amb el suport de la Conselleria d’Innovació, Universitats, Ciència i Societat Digital, analitza la necessitat d'implementar en les empreses els sistemes de gestió de continuïtat del negoci
Tindre un sistema de gestió de continuïtat del negoci (SGCN) fiable s'ha convertit en un dels objectius prioritaris per a les organitzacions, principalment per la globalització i exigència dels clients i els usuaris. Per a mantindre un avantatge competitiu, les empreses no poden permetre's tindre interrupcions en el seu negoci, per la qual cosa es torna fonamental disposar de garanties per a respondre a qualsevol situació que puga posar en risc la continuïtat de l'activitat. La nova publicació de la Fundació Parc Científic Universitat de València (FPCUV), amb el títol Bones pràctiques en la continuïtat TIC de les organitzacions. De la implementació a la certificació, se centra en la importància d'una correcta administració, planificació, seguiment, control i millora contínua de l'estratègia de continuïtat de negoci de l'organització per a assegurar la seua operació crítica en cas d'una contingència.
“Cada vegada més les empreses i organitzacions tant d'índole públic com privat basen la seua activitat en els sistemes d'informació. La infraestructura tecnològica que suporta aquests sistemes passa a formar part d'un dels seus principals actius. La interrupció d'aquesta infraestructura pot provocar perjudicis de diversa índole, no sols econòmics sinó també reputacionals”, explica Mariano Serra, responsable dels sistemes TIC de la FCPUV, coordinador de la monografia juntament amb Jorge Edo, director d'Àrea IT Mobiliza Academy i soci director de Mobiliza Consulting.
La publicació electrònica presenta bones pràctiques com l'estàndard internacional ISO 22301, les definides per entitats com el National Institute of Standards and Technology (NIST) organisme dependent del govern dels EUA, l'Institut Nacional de Seguretat (INCIBE), del Govern d'Espanya, i els casos d'èxit en la implantació d'un SGCN en sectors com el sanitari, portuari i d'infraestructures científiques. “Totes elles tenen en comú la identificació de les potencials amenaces a les quals es poden enfrontar l'organització, els impactes sobre les operacions que aquestes amenaces puguen causar i la gestió de la recuperació de les activitats en cas de produir-se una interrupció”, afig Serra.
“Cada vegada més les empreses i organitzacions públiques i privades basen la seua activitat en els sistemes d'informació i la infraestructura tecnològica que els suporta es tornen en un dels seus principals actius. La interrupció d'aquesta infraestructura pot provocar perjudicis de diversa índole, no sols econòmics sinó també reputacionals”, Mariano Serra, responsable dels sistemes TIC de la FCPUV
Mites i reticències
Un altre element a destacar, assenyala Edo, es refereix a l'existència de reticències de les empreses a aplicar sistemes de continuïtat, un fet que s'explica per “el desconeixement” o “la falta d'implicació de la direcció en el projecte”. “En un projecte d'aquest abast, el lideratge a alt nivell és clau. És freqüent que sorgisquen reticències de gerència de les organitzacions, especialment en les pimes, al no veure necessari invertir recursos fins que no s'haja produït l'incident de ciberseguretat, quan resulta massa tard plantejar una estratègia de continuïtat adequada”, adverteix l'especialista.
Un dels mites entorn dels Plans de Continuïtat en les organitzacions resideix en la idea equivocada que només compensa desenvolupar-los en grans empreses i multinacionals, "pensant que aquestes qüestions no afecten les pimes o micropimes”, subratlla Edo, qui recorda que un pla de continuïtat pot desenvolupar-se tant per a grans, com a petites o mitjanes empreses. "En aquest punt és clau determinar, mitjançant una anàlisi de riscos detallat, els processos clau de l'organització, els quals van a requereixen estratègies de recuperació adequades”, afig.
Segons un estudi publicat recentment per la consultora Deloitte, ‘L'estat de la Ciberseguretat a Espanya’, el 94% de les empreses espanyoles ha patit, almenys, un incident greu de ciberseguretat en 2021. “Al que cal sumar que Espanya se situa en el tercer lloc dels països que més atacs està rebent, el número dels quals està augmentant de manera exponencial. De les empreses atacades, una gran part correspon a pimes i micropimes”, recalca el director d'Àrea IT Mobiliza Academy i soci director de Mobiliza Consulting.
“Espanya se situa en el tercer lloc dels països que més atacs rep, i el nombre dels quals està augmentant de manera exponencial. De les empreses afectades, una gran part correspon a pimes i micropimes”, Jorge Edo, director d'Àrea IT Mobiliza Academy i soci director de Mobiliza Consulting
Recomanacions d'implementació d'un SGCN
Entre les principals recomanacions a tindre en compte, Edo destaca que les organitzacions han de ser “proactives en lloc de reactives”, encara que lamenta que la major part dels plans de continuïtat de negoci i de continuïtat TIC es desenvolupen detalladament "quan l'empresa ha patit en carn pròpia un desastre que afecta la continuïtat dels processos de l'organització".
Davant possibles amenaces, aquest expert suggereix utilitzar com a base per a desplegar el Pla de Continuïtat un marc de bones pràctiques com l'ISO 22301. "En l'apartat 2, 'Bones pràctiques en Continuïtat de Negoci’, a més es recull detalladament les recomanacions dels marcs del NIST i del INCIBE relatius a continuïtat. Per a una informació més completa, s'aconsella revisar l'apartat 5, on es recull de manera pràctica com tres organitzacions diferents han abordat la continuïtat", suggereix Edo.
El llibre electrònic recull casos pràctics del sector portuari, l'Institut de Física Corpuscular (IFIC) i de Novasalud
Descàrrega el llibre electrònic
Per a poder accedir a aquest nou llibre electrònic que t'ofereix la *FPCUV sobre la implementació i la certificació dels sistemes de gestió de continuïtat del negoci (SGCN), visita el següent enllaç.
Altres referències
- El análisis de ciberamenazas nacionales e internacionales, su evolución y tendencias futuras del Centro Criptológico Nacional (CCN-CERT) https://www.ccn-cert.cni.es/informes/informes-ccn-cert-publicos/6786-ccn-cert-ia-24-22-ciberamenazas-y-tendencias-edicion-2022-1/file.html
- European Union Agency for Cybersecurity (ENISA) https://www.enisa.europa.eu/publications/enisa-threat-landscape-2022
- Informe anual de las principales tendencias en ciberseguridad de la agencia Gartner https://www.gartner.com/en/doc/760806-top-trends-in-cybersecurity
- Digital Defense Report de Microsoft https://www.microsoft.com/en-us/security/business/microsoft-digital-defense-report-2022
Amb el suport de
