La continuidad de negocio

en la PYME española

Congreso Continuidad de Negocio 2012

Fundación DINTEL
Madrid, 26 de septiembre de 2012

Pablo Pérez San-José

Gerente del Observatorio (INTECO)
@pabloperezsjose

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

Índice

 Punto de partida

 Las pymes ante los riesgos que afectan a la

continuidad de negocio

 ¿Cómo se preparan las pymes frente a las

contingencias?

 Planes de continuidad de negocio en las

pymes españolas

 Reflexiones finales

 Guía práctica para pymes: cómo implantar

un Plan de Continuidad de Negocio

2
¿Por qué es necesario este diagnóstico?

1. Relevancia de la micro y la pequeña empresa en el tejido empresarial

español
Directorio Central de Empresas - INE (2011)

2. El impacto de algunos acontecimientos recientes indica la necesidad e

importancia de estar preparados
Ciberataques, catástrofes, huelgas, hacktivismo, etc.

3. Falta de concienciación, de formación y barreras de acceso en materia de

seguridad
Estudio sobre seguridad de la información y continuidad de negocio en las pymes españolas
(septiembre 2012)

4. Importancia creciente de la continuidad para las actividades empresariales:

minimización de riesgos, solvencia, confianza, etc.

5. Difundir e impulsar en la PYME la adopción de buenas prácticas y la

implantación de estándares de seguridad: ISO 27000 y la BS 25999

3
 Las pymes ante los riesgos que
afectan a la continuidad de negocio

4
Tiempo máximo de interrupción

Tiempo máximo en el que una empresa puede tener interrumpidos sus principales procesos sin que
suponga un impacto crítico en su negocio

2010 35,8% 11,7% 22,6% 12,5% 17,5%

2012 35,1% 7,8% 21,9% 11,7% 9,8% 6,8% 6,9%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Menos de 6 horas Menos de 12 horas Menos de 24 horas Menos de 48 horas

Menos de 5 días Más de 5 días No sabe / No contesta

5
Incidentes de seguridad con impacto en continuidad

Evolución de las incidencias de seguridad en los últimos 3 meses que hayan impactado
en la continuidad de los procesos de negocio

Caída/avería del sistema de soporte 15,2%

8,9%
11,3%
Caída de sistemas/aplicaciones informáticas 7,4%
Falta de servicio/suministro por parte de 11,2%
proveedores 16,3%

Ataques informáticos 6,3%

11,1%

Daño físico en equipos 5,8%

1,4%
3,9%
Inundación/ incendio/desastre natural 3,6%
2,7%
Pérdida de datos críticos 1,7%
1,3%
Huelga/epidemia/baja de personal crítico 1,7%
1,1%
Incumplimiento legal / Multas, sanciones
4,4%

No sabe / No contesta
8,1%
66,4%
Ningún incidente 56,7%

0% 10% 20% 30% 40% 50% 60% 70%

2012 2010
6
Medidas para garantizar la continuidad
tras haber sufrido un incidente grave
El hecho de haber padecido algún incidente de seguridad, ¿ha supuesto que la compañía haya tomado
alguna de las siguientes medidas destinadas a garantizar la continuidad de sus negocios?

He instalado/actualizado herramientas de
seguridad 19,7%

He implantado nuevas medidas de seguridad 12,9%

Se ha impartido formación sobre seguridad a los

empleados 2,2%

Se han implantado medidas de continuidad de

negocio 2,1%

Se ha implantado en un Sistema de Gestión de

Seguridad Informática (SGSI) (ISO 27001) 0,9%

Mi empresa ha dejado de utilizar ciertos servicios

a través de Internet 0,6%

Se ha contratado personal propio/servicio externo

dedicado a la seguridad 0,1%

No sabe/ No contesta 7,1%

Seguimos haciendo lo mismo 54,4%

0% 10% 20% 30% 40% 50% 60%

7
Principales resultados del Estudio

¿Cómo se preparan las pymes

frente a las contingencias?

8
Planificación de medidas para afrontar una situación
de crisis o desastre

Previsión de alguna estrategia o procedimiento en caso de situaciones de crisis/desastre

que afecten al negocio

6,5% 15,3% Sí, elaborada e implantada

Sí, pero solo para la parte

tecnológica

15,5% No, pero está previsto hacerlo

51,7%
No

Ns/Nc
11,0%

9
No disposición de estrategias de recuperación de la
actividad

Razón de no disponer de una estrategia que permitan mantener las actividades de negocio
ante una situación de crisis/desastre

Probabilidad muy reducida de crisis 41,2%

No dispongo de personal / tiempo 19,3%

Coste excesivo 11,4%

Tengo otras prioridades de seguridad 10,0%

No se lo ha planteado 2,4%

Por desonocimiento 1,4%

Cuando ocurre lo solucionan ellos mismos 0,7%

Otra 1,7%

No sabe / No contesta 11,9%

0% 10% 20% 30% 40% 50% 60%

10
Grado de preparación de las empresas para hacer
frente a una situación de crisis o desastre

Posición afirmada por la empresa para afrontar una situación de crisis, desastre o contingencia

2,9%
29,9%

17,7% 79,4%
49,5%

Está bien preparada Está medianamente preparada No está preparada No sabe / No contesta

11
Principales resultados del Estudio

Planes de Continuidad de Negocio (PCN)

en las pymes españolas

12
Planes y políticas de seguridad en la PYME

Pymes que afirman disponer de un PCN

No, no es necesario
14,4%
2,4% Si, tenemos un PCN completo

5,2% Sí, pero solo abarca el aspecto

tecnológico
5,3% No, es necesario pero no está
59,8% previsto implantarlo
No, pero está previsto implantarlo
12,9%

No sabe/No contesta

13
Importancia que las PYMEs otorgan como clientes
a los planes de continuidad de negocio

Organizaciones que exigen a sus proveedores de servicios algún tipo de requerimiento

o plan de gestión de la continuidad

2010 18,7% 72,0% 9,3%

2012 29,6% 66,2% 4,2%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Sí No No sabe / No contesta

14
Perfiles de empresa (clúster) según continuidad de negocio
Perfil 1: Empresas
“preparadas”
Sector Sector servicios
Tamaño Medianas y pequeñas
Probabilidad incidentes baja.
Incidencias
Identificadas las actividades
críticas de negocio.
Dicen estar bien preparadas
para afrontar una situación de
crisis.
Respuesta
Con estrategia para situaciones Con estrategia para situaciones Sin estrategia para situaciones Sin estrategia para situaciones
de crisis / desastre.
Conocen los PCN y tienen
Conocimiento e implementadas medidas frente
implementación a contingencias (BCP) y de
del PCN recuperación ante desastres
técnicos (DRP)
Perfil 2: Empresas Perfil 3: Empresas Perfil 4: Empresas
“desprevenidas” “indiferentes” “temerarias”
Industria + Comercio y
Comercio y hostelería Industria
hostelería
Pequeñas y microempresas Microempresas Microempresas
Probabilidad de incidentes alta. Probabilidad de incidentes baja. Probabilidad de incidentes alta.
No están identificadas las No están identificadas las No están identificadas las
actividades críticas de negocio. actividades críticas de negocio. actividades críticas de negocio.
Dicen estar medianamente Dicen no estar preparadas para Dicen estar poco preparadas
preparadas para afrontar una afrontar una situación de crisis. para afrontar una situación de
situación de crisis. crisis
de crisis / desastre. de crisis / desastre. de crisis / desastre.
Conocen los PCN y tienen No conocen PCN y no tienen No conocen PCN y no tienen
implementadas medidas de implementadas medidas de implementadas medidas de
recuperación ante desastres recuperación. recuperación.
técnicos (DRP)
15
Perfiles de empresa según seguridad / continuidad

Caracterización de las pymes según sus perfiles en materia de continuidad de negocio

9,1%
22,5%

44,7% 23,7%

Grupo 1: preparadas Grupo 2: desprevenidas Grupo 3: indiferentes Grupo 4: temerarias

16
Reflexiones finales

17
Reflexiones finales

 A priori, existe todavía un amplio margen de mejora en cuanto a gestión de

continuidad de negocio en la pyme española, no solo en implantaciones de
PCN, sino también en niveles de conocimiento y concienciación, así como en
recursos.

 Si bien se comienza a apreciar un crecimiento paulatino de la demanda y la

preocupación en materia de continuidad de negocio (consecuencia del eco de
incidentes graves), el nivel de madurez actual es bajo por lo que la ecuación
de coste / beneficio no está en posición de ser equilibrada

 El impulso definitivo requiere de grandes dosis de coordinación y cooperación

entre instituciones, representantes sectoriales, asociaciones, proveedores de
servicios y empresas en general, ya que es un beneficio para todos

 La normalización y el impulso de sistemas de gestión certificados ayuda a las

empresas a disponer de un marco de referencia adecuado y sólido

 Es necesario apoyar a la pyme. Por ejemplo, con la Guía práctica para pymes:
cómo implantar un PCN.

18
 A la luz de la situación de riesgo de las pymes, los PCN son una necesidad para mitigar
los impactos que actualmente generan o pueden generar interrupciones graves en la
operativa de su negocio.
 La adopción de estas medidas choca de lleno con tres barreras principales:
 Esfuerzos centrados en la gestión del día a día hacen evidenciar falta de recursos
 Percepción errónea de “nunca pasa nada” hace que piensen que la continuidad es un
gasto innecesario.
 La falta de conocimientos (“in house”) y necesidad de contar con especialistas
externos que asesoren en la implantación repercute en un incremento de los costes
 Se necesita por lo tanto un impulso específico en la puesta en marcha de servicios de
apoyo para la implantación de PCNs en las pymes, a modo de ejemplo:
 Formación orientada a despertar el interés y la preocupación en las pymes, así como
el conocimiento de los riesgos a los que se enfrentan
 Una mayor concienciación y herramientas eficaces que permitan a la pyme rehacer el
cálculo de la ecuación de Coste / Beneficio para priorizar los recursos disponibles y
valorar las inversiones
 Oferta de servicios adecuada que permita cubrir todos los ámbitos del PCN: Servicios
Tecnológicos, Operacionales, Servicios de gestión, Financieros, Legales , Logísticos
19
 El plan de continuidad de negocio puede ser una herramienta eficaz para incrementar la
solvencia y la estabilidad del sistema y la solidez del tejido empresarial español:
• Incrementar la confianza mutua entre empresas
• Garantizar el cumplimiento de los compromisos adquiridos con:
o Clientes
o Inversores y accionistas
o Administración e instituciones
• Mayor estabilidad en las operaciones entre empresas disminuyendo los riesgos asociados
a proveedores.

 Grandes empresas empiezan a imponer criterios de continuidad (ej: mediante SLA con
proveedores) para garantizar tasas de productividad acordes a sus expectativas de
negocio.

 Sin embargo, todavía no son muchas las empresas que exigen de forma sistemática
garantías sobre la continuidad de servicio a los proveedores

20
 Las empresas valoran más conocer experiencias de otras empresas similares, para
tener una referencia definida. Existen numerosas casos de éxito en España que pueden
ser de ayuda. Los requerimientos regulatorios, aún laxos en España, no se identifican
como una herramienta útil para el incentivo en la adopción de PCN entre las pymes.

 Por lo tanto, las políticas públicas y las iniciativas sectoriales y privadas deben
contribuir a impulsar estrategias concretas y más ajustadas a las necesidades de la
PYME, por ejemplo:

• Creación de plataformas para la gestión de incidentes mediante el respaldo mutuo

• Foros de trabajo para compartir conocimientos y experiencias en la adopción de
planes de continuidad de negocio
• Ampliar las políticas de incentivo de los planes de continuidad de negocio en
aquellos sectores más estratégicos de la economía española

 El diagnóstico y seguimiento de la adopción de estas medidas y políticas

(estudios/indicadores) y la labor de concienciación (guías/campañas) son el primer paso
en un camino mucho más largo

21
INTECO y la continuidad de negocio

22
Estudio sobre seguridad de la información y
continuidad de negocio en las pymes españolas
Objetivos del estudio
 Protección y prevención frente a riesgos.
 Incidencias, consecuencias y respuestas.
 E-confianza
 Recomendaciones y buenas prácticas

Ámbitos del estudio

SEGURIDAD DE LA INFORMACIÓN CONTINUIDAD DE NEGOCIO

Y E-CONFIANZA

Metodología de investigación

ANÁLISIS DOCUMENTAL

ENCUESTA A ENTREVISTAS EN
EMPRESAS PROFUNDIDAD

http://observatorio.inteco.es
THINK TANK CON EXPERTOS CUALIFICADOS

23
Guía práctica para pymes: cómo implantar
un Plan de Continuidad de Negocio

 A quién va dirigida

 Utilidad de la guía

 Repercusión

http://observatorio.inteco.es

24
Muchas gracias

http://observatorio.inteco.es
@ObservaINTECO