OpiniónSeguridad

¿Para qué sirve hacer un plan de continuidad?

Por Juanjo Galán, Business Strategy en All4Sec.

Juanjo Galán, Business Strategy en All4Sec.
Juanjo Galán, Business Strategy en All4Sec.

La continuidad del negocio se ha convertido en un tema recurrente en los dos últimos años. Acontecimientosinesperados, como la pandemia del COVID-19, han puesto de manifiesto la delicada operación de muchas compañías que de repente han visto como sus habituales procedimientos de trabajo quedaban alterados.

Covid-19 como punto de partida

La realidad de la situación generada por la pandemia ha demostrado que la inmensa mayoría de las compañías no se habían planteado la posibilidad de que este riesgo se materializara; incluso aquellas que sí lo habían hecho, lo habían analizado asignándoles valores de poca probabilidad o incluso habían cuantificado su impacto económico —que no humano— como razonablemente asumible.

Lo cierto es que cuando en marzo de 2020 el mundo entero fue confinado, las señales de alarma ya llegaron demasiado tarde. De la noche a la mañana, millones de pequeñas y medianas empresas vieron reducidas, cuando no interrumpidas, sus actividades sin saber siquiera cómo afrontar ese nuevo escenario que se mostraba ante ellas.

No en vano, la inmensa mayoría de la pymes carecía de un Plan de Continuidad que evaluara la posibilidad de que, por ejemplo, los empleados no pudieran desplazarse a las oficinas durante días o semanas.

Las soluciones en muchos casos fueron improvisadas y sin las debidas precauciones. Los más intrépidos se lanzaron a desplegar mecanismos de teletrabajo —conexiones remotas, despliegue de servicios en la nube, sistemas de videoconferencia, etc.— que suponían nuevos riesgos que ni siquiera se paraban a estudiar. Y ahí se materializaron otros riesgos, principalmente asociados a la ciberseguridad.

Nuevos riesgos, nuevos planes

Ciertamente resulta sencillo hacer planes cuando todo marcha bien. Siempre es más atractivo pensar en cómo hacer crecer el negocio o cómo conseguir los objetivos que pararse a reflexionar sobre qué ocurriría si las cosas se torcieran o incluso qué podría ocasionar que los objetivos no se consiguieran. Pero es que precisamente estas preguntas son las que toda compañía debe hacerse cara a afrontar sus riesgos. Riesgos que de materializarse pueden poner en serios problemas a una organización. 

Los eventos inesperados, como hemos podido comprobar en los últimos meses, se han multiplicado: incidentes naturales, decisiones geopolíticas, errores en equipos y sistemas globales o incluso actos de terrorismo.

A cualquier de nosotros se nos ocurrirían ejemplos llamativos, desde ciberataques —como el ocurrido a Colonial Pipeline—,  limitaciones en los suministros de energía, alteraciones en las cadenas de producción de microchips, errores en las actualizaciones del software de redes sociales o incluso erupciones volcánicas o exceso de emisiones de gases contaminantes. Pareciera como siestuviéramos asistiendo a un cambio en las probabilidades de materialización de estos riesgos hasta ahora considerados por muchos como marginales. Hace unos días, sin ir más lejos, por ejemplo, leíamos sobre la posibilidad de que una tormenta solar —que tendría lugar en los próximos cinco años— afectara a redes de transporte que hacen uso de elementos metálicos, como oleoductos o redes de telecomunicaciones.

Los ejemplos desafortunadamente son numerosos. Sin embargo, la gran mayoría de los planes de continuidad apenas recogen con la debida importancia la probabilidad de ocurrencia de estos eventos. Según algunos estudios, más de un 60% de las compañías están actualmente redefiniendo sus Planes de Continuidad para hacer frente al nuevo escenario: riesgos en las cadenas de suministros, incendios, cortes de energía, pandemias, eventos medioambientales, etc.

Revisando los planes de continuidad

Una redefinición de los Planes de Continuidad trae consigo un nuevo análisis del alcance del plan junto con una revisión del funcionamiento de la organización. El resultado ha de ser la determinación de una nueva estrategia de continuidad y un plan de respuesta ante contingencias que incluya riesgos hasta ahora considerados marginales. Y todo ello porque, en el mundo actual, el entorno es mucho más cambiante, complejo y, sobre todo, está más interconectado.

La propagación de riesgos entre organizaciones es infinitamente más rápida y sus consecuencias globales tienen mayor impacto. Por eso mismo, revisar e interrelacionarcon terceras partes los Planes de Continuidad ha de ser una prioridad máxima.

Bien es cierto que todo este proceso lleva su tiempo y esfuerzo, pero, por favor, que a nadie se le ocurra pensar que, sin un Plan de Continuidad, los empleados de una compañía sabrán cómo actuar ante una emergencia o que una mera póliza de seguro cubrirá sus pérdidas en caso de un incidente serio. Las consecuencias de esa decisión, llegado el momento, podrían llegar a ser desastrosas.

Computing 816