¿Cómo medimos la resiliencia de nuestro negocio?

Todas las empresas tienen la necesidad de garantizar la continuidad de su negocio, ya sea en su aspecto más físico (instalaciones, oficinas, etc.), como en el activo más valioso del que disponen, esto es, su información. Esta necesidad de garantía de continuidad, más allá de ser un aspecto absolutamente lógico para todos los empresarios, es una obligación de origen legislativo que se manifiesta en el Reglamento General de Protección de Datos. Concretamente en el artículo 32 que trata sobre cómo debemos asegurar la información de las personas físicas, concreta que debemos garantizar la confidencialidad, integridad, disponibilidad y resiliencia de los sistemas y servicios de tratamiento. Asimismo, como también añade a continuación, debemos tener la capacidad de restaurar la disponibilidad y acceso a todos los datos personales que obran en poder de la organización, como consecuencia de un evento o incidente de seguridad.

Quizá sea unos de los aspectos más infravalorados y poco trabajados en las empresas, normalmente delegado a una gestión de nuestros servicios de IT. Pero más allá de los aspectos técnicos, la continuidad del negocio debe ser objeto de un análisis previo de nuestros procesos de negocio, elasticidad ante interrupciones y la capacidad que tengamos para implantar medidas preventivas y reactivas. ¿Qué factores debemos tener en cuenta para ello? Vamos a detallar los más importantes:

• - Identificar la información de negocio, por ejemplo, la información económica, reservas, fondo de comercio, etc. De esta forma, también identificamos su carácter más o menos crítico para la organización.
• - Analizar cuáles son los principales riesgos que acechan a la información; los riesgos pueden ser de toda clase, pero no podemos obviar la situación tan complicada que vivimos por los ciberataques.
• - Identificar los sistemas críticos que dan soporte a la información. No es lo mismo perder un equipo informático, que un servidor donde alojamos nuestra página web de venta online.
• - Identificar nuestros proveedores principales de negocio, de forma que podamos contar con ellos en caso de cualquier evento disruptivo.

Este análisis estratégico de nuestra situación actual de la organización nos permite afrontar un elemento absolutamente clave para definir nuestro plan de contingencias: el análisis de impacto sobre el negocio. Este análisis responde a las siguientes cuestiones:

• - ¿Quiénes deben participar en una recuperación del negocio, es decir, qué roles dentro de la empresa o externos?
• - ¿Qué posibles escenarios pueden ser objeto de ocurrencia y provocar un desastre? Ejemplos de ello son, ataques de phishing, incendios, corte en las comunicaciones, etc.-
• - ¿Cuánto tiempo puedo tolerar una interrupción de un proceso de negocio, o el acceso a la información que sea necesaria? No tiene la misma tolerancia una pérdida de información que sea accedida una vez al año, que la información de contacto de clientes. Por lo tanto, la elasticidad en un caso u otro es totalmente distinta.
• - ¿Cuánta información puedo llegar a perder? Si el desastre provoca la pérdida de información continuada, cada empresa tolera hasta cierto punto dicha pérdida. Pueden imaginar la cantidad de información que una entidad bancaria consiente perder, la cual es mínima.
• - Y, por último, ¿qué medios dispongo para recuperar mis procesos de negocio actualmente?

Este análisis tan fundamental, conduce a una correcta y eficiente inversión en medios para recuperar la empresa. En muchas ocasiones, la falta de respuesta a las anteriores preguntas conlleva a un gasto en tecnologías de recuperación muy por encima de las requeridas por la organización, o bien poco adecuadas para la realidad de la empresa. Asimismo, nos encontramos igualmente con una falta absoluta de medios adecuados para garantizar que nos levantemos ante cualquier evento de seguridad.

Xavier Ferretjans

Director de BinauraMONLEX

xferretjans@binauramonlex.com