En un momento en el que se suceden las amenazas a los sistemas informáticos de empresas e instituciones, la continuidad del negocio se ha convertido en la prioridad fundamental para empresarios y responsables políticos. De hecho, a pesar de las consecuencias derivadas de la contención del gasto en TI por parte de las empresas, los analistas aseguran que el área de la seguridad es la única en la que se ha invertido y se seguirá invirtiendo de cara al futuro, mientras que segmentos como el del hardware, que ha sufrido fuertes retrocesos en los últimos años, software o servicios, se mantendrán en los niveles de evolución observados en los años más recientes.
Se calcula que, hasta 2005, un 20 por ciento de empresas sufrirán un incidente serio en sus sistemas de información y/o comunicaciones. Y es que con más de 600 millones de usuarios de Internet se ha multiplicado peligrosamente la cantidad de incidentes.
Envueltos en esta dinámica, algunas compañías se empiezan a plantear desarrollar unos planes de contingencia ante desastres que les permitan continuar con su actividad cotidiana a pesar de haber sido víctimas de un ataque. Sin embargo, hay que aclarar que para hacer comprender a la alta dirección la necesidad de invertir en seguridad es preciso que previamente comprendan las consecuencias que una caída puede tener sobre el rendimiento de su negocio. Básicamente, el diseño de un plan de continuidad de negocio implica analizar los potenciales riesgos (conocer qué tipo de fallo es factible sufrir; su procedencia -hackers, crackers, empleados, clientes, proveedores o competidores- ) y valorar las posibles pérdidas. Algo que han hecho, por ahora, muy pocas empresas y que un dato de Gartner Dataquest viene a confirmar. La consultora asegura que habrá que esperar hasta el ejercicio 2007 para que al menos el 35 por ciento de las grandes empresas dispongan de una infraestructura de continuidad de negocio. Así, ajenas a las amenazas (terrorismo, virus, gusanos, hackers, crackers…) viven la mayor parte de las empresas del mundo. Tanto es así que, en 2002, sólo el sólo el 25 por ciento de las 2.000 firmas más importantes del mundo habían diseñado un plan de continuidad de negocio, que les salvara del desastre en caso de incidencia. Y no hay que remontarse mucho en el tiempo para conocer las repercusiones de un desastre. Cuantas empresas desaparecieron tras los atentados del 11 de septiembre porque no disponían de backup fuera de las Torres Gemelas o qué impacto económico tuvo el gran apagón de Nueva York y Canadá del pasado verano. Con estos datos en la mano, es obvio que el gasto en seguridad y continuidad del negocio crecerá de forma rápida en los próximos años hasta situar su valor en 116.000 millones de dólares en 2007, según IDC.
Hasta ese momento, mucha tarea queda por delante. Pero parece que las conciencias de los directores de Sistemas se van moviendo en este sentido como pone de relieve un trabajo realizado por IDC entre este grupo de profesionales. El 40 por ciento de ellos estiman que la seguridad de sus infraestructuras es su máxima prioridad, y por ello van a habilitar recursos para garantizarla.
Otro trabajo de Gartner Dataquest indica que la mayor parte de las firmas estadounidenses no están preparadas para afrontar desastres relacionados con TI en sus negocios. En concreto indican que uno de cada tres negocios norteamericanos podrían perder datos críticos para continuar con su capacidad operativa si ocurriera un desastre, a menos que se invierta de modo inmediato en un plan de contingencia ante desastres, los cuales como promedio ofrecen aplicaciones para recuperar procesos de negocio por un plazo de caída que oscila entre las 24 y 72 horas.
De acuerdo con Tony Adams, analista de Gartner Dataquest, más que priorizar las inversiones lo importante debe ser asegurar que los negocios puedan recuperar rápidamente la productividad después de un incidente. Y para ello, hay que invertir en proteger los sistemas críticos, pero parece ser que la falta de fondos es la principal barrera a la iniciación del desarrollo de un plan de contingencia frente a desastres. Por otra parte, los analistas ponen sobre la mesa otro dato. Aseguran que el 37 por ciento de los responsables de TI que disponen de un plan contra desastres necesitan una serie de inversiones adicionales de cara a lograr que tal plan surta el efecto esperado.
Fiel reflejo de lo que sucede en el exterior, las carencias de seguridad en los sistemas informáticos y de comunicaciones de las empresas españolas son también un hecho constatable, pese a que entre la clase empresarial se ha elevado la conciencia de que arbitrar, a priori, medidas de seguridad contra posibles incidencias supone un gasto mínimo frente a las nefastas consecuencias que puede producir en el desarrollo del negocio cualquier contingencia. Aún sabiendo esto, es muy reducido el número de empresas que ha diseñado un plan de contingencia y recuperación. De hecho, un estudio elaborado por Grupo Penteo y Sedisi, a partir de las respuestas de 248 empresas, indica que el 62 por ciento las compañías admite haber sido atacada en alguna ocasión, mientras que el 91 por ciento del global teme que las agresiones se intensifiquen en el futuro. No obstante, y a pesar de las consecuencias legales, económicas, operativas y de imagen que un desastre puede significar para cualquier corporación, únicamente algo más del 50 por ciento de las empresas consultadas han destinado parte de su presupuesto a solucionar el problema, pero hay un 47 por ciento que no lo ha hecho. El trabajo indica que, hoy por hoy, sólo el 7 por ciento del presupuesto de TI se dirige a paliar los agujeros de seguridad.
Hablando de los planes de continuidad de negocio, el trabajo de Penteo y Sedisi indica que sólo el 11 por ciento de las empresas cuenta con uno de ellos, mientras que un 42 por ciento de los consultados reconoce no haberlo desarrollado todavía, aunque no descarta hacerlo a corto plazo. Existe un 10 por ciento de empresas consultadas que ni siquiera baraja la posibilidad de disponer de estos planes.
Haciendo hincapié en la necesidad de formación continua de los empleados en materia de seguridad, el trabajo arroja un dato polémico que se resume en que al valorar el impacto de la seguridad sobre el e-business, el 51 por ciento de los encuestados no observa su carencia como una barrera insalvable para operar.
Dado que el tejido empresarial español está conformado por pequeñas y medianas empresas, las cuales no pueden destinar grandes sumas económicas a securizar sus infraestructuras frente a amenazas tanto externas como internas. Así además de proteger el perímetro y controlar los accesos, las pymes deben empezar a plantearse el diseño de un plan de contingencia y la disponibilidad de centros de back up con el fin de evitar el desastre que conlleva cualquier pérdida de datos críticos.
Según un trabajo de Forrester, la pyme va a actuar como dinamizador de la seguridad gestionada, un área que la consultora prevé genere 4.800 millones de euros en 2008. Parece ser que, actualmente, el segmento industrial es el que cuenta con un nivel de protección de sus infraestructuras de TI más bajo, seguido por Administración Pública y telecomunicaciones. La banca, y lo estamos viendo estos días con la replicación fraudulenta de portales de banca on line, tampoco destaca por su elevado nivel de protección.
