Resumen ejecutivo del Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio

Transcripción

1 Resumen ejecutivo del Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Con el patrocinio de: OBSERVATORIO La PYME española ante los riesgos DE y la LA implantación SEGURIDAD de Planes de Continuidad DE de LA Negocio INFORMACIÓN Página 1 de 21

2 Edición: Septiembre 2010 El Estudio sobre el estado de la PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio ha sido elaborado por el siguiente equipo de trabajo del Observatorio de la Seguridad de la Información de INTECO: Pablo Pérez San-José (dirección) Javier Rey Perille (coordinación) Laura García Pérez Cristina Gutiérrez Borge INTECO quiere mencionar la participación en la realización del trabajo de campo e investigación de este estudio y agradecer el patrocinio de su edición impresa de: La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO. El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para La PYME ampliar española información ante los sobre riesgos la construcción y la implantación de documentos de Planes de PDF Continuidad accesibles de puede Negocio consultar la guía disponible Página 2 en de la 21 sección Observatorio Accesibilidad de la Seguridad > Formación de > la Manuales Información y Guías de la página

3 ÍNDICE ÍNDICE OBJETIVOS Y METODOLOGÍA Introducción Objetivos Diseño Metodológico PRINCIPALES RESULTADOS Análisis de los niveles de seguridad en la PYME española Cultura y conocimiento de la PYME española en materia de continuidad de negocio Análisis de los niveles de adopción de medidas o planes de continuidad de negocio en la PYME española Análisis comparativo de la gestión de la continuidad de negocio en la empresa española según su tamaño Mejores prácticas de continuidad de negocio...17 CONCLUSIONES Y RECOMENDACIONES...19 ÍNDICE DE GRÁFICOS...20 La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 3 de 21

4 1 OBJETIVOS Y METODOLOGÍA 1.1 Introducción INTECO, en su afán por desarrollar la Sociedad del Conocimiento a través de proyectos en el marco de la innovación y la tecnología, publica el Estudio sobre el nivel de preparación de las PYME ante los riesgos y adopción de Planes de Continuidad de Negocio. Este estudio pone de manifiesto un concepto, el de Continuidad de Negocio, que la evolución de los negocios y los acontecimientos nacionales e internacionales hacen que paulatinamente esté más presente en la gestión estratégica de las organizaciones, hasta el punto de convertirse en una necesidad o, al menos, un aspecto a considerar. Si bien existen múltiples definiciones acerca de la Gestión de la Continuidad de Negocio, todas ellas deben referirse a un proceso orientado a identificar posibles riesgos que amenazan a una organización y desarrollar de forma preventiva una capacidad de recuperación ante situaciones que supongan interrupciones totales o parciales de sus operaciones de negocio. 1.2 Objetivos El objetivo general de este estudio es el análisis, basado en las percepciones de los empresarios, de los niveles de preparación, los patrones de comportamiento, las necesidades reales y las principales barreras que dificultan la adopción de medidas, planes o estrategias que permiten a la PYME española estar mejor preparada para garantizar la continuidad de sus operaciones de negocio. Todo ello, con el fin de proponer recomendaciones de actuación a las entidades, a la industria de seguridad de la información y a las Administraciones Públicas para impulsar el conocimiento y el seguimiento de los principales indicadores y políticas públicas relacionadas con la Sociedad de la Información en materia de seguridad de la información. El anterior objetivo se desglosa operativamente en los siguientes objetivos específicos: Analizar la situación tecnológica de seguridad de la PYME española desde el punto de vista de la continuidad de negocio. Valorar los niveles de cultura y conocimiento de la PYME española en materia de continuidad de negocio. Analizar los niveles de adopción de medidas o planes de continuidad de negocio en la PYME española. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 4 de 21

5 Analizar comparativamente la situación de la continuidad en la empresa española según su tamaño. Conocer las mejores prácticas de continuidad de negocio. Finalmente, aprovechando los resultados obtenidos tras el estudio, se ha elaborado una guía práctica dirigida a las PYME con pautas y consejos acerca del diseño y puesta en marcha de un plan de continuidad de negocio. 1.3 Diseño Metodológico La metodología utilizada para la realización del estudio y la consecuente publicación del presente informe se ha basado en la realización de encuestas presenciales, telefónicas y a distancia sobre empresas españolas con menos de 50 empleados y con al menos un ordenador conectado a Internet, así como proveedores o expertos en la entrega de servicios orientados a garantizar la continuidad de las operaciones de negocio. Las distintas perspectivas abordadas para el enfoque del estudio, han sido las siguientes: Caracterización de las empresas desde el punto de vista de la continuidad de negocio. 400 pequeñas y microempresas de todos los sectores de actividad conforme al CNAE-2009 han respondido a la encuesta. Identificación de las PYME con experiencias exitosas mediante la aplicación de buenas prácticas en el área de continuidad de negocio. En total 29 organizaciones pueden constituirse como casos de éxito representativos de diferentes realidades en cuanto a la adopción o no de planes de continuidad de negocio en lo referente a análisis de riesgos, planes de recuperación a nivel tecnológico, implantación de medidas de seguridad preventivas, etc. Percepción por parte de los proveedores de servicios o soluciones de continuidad de negocio. En base al conocimiento que estos agentes tienen de la oferta y demanda de servicios de continuidad (para las PYME y por parte de las mismas) y los riesgos y amenazas a las que se enfrentan. La interacción con estos colectivos, unido al proceso previo de estudio de diferentes publicaciones e informes relacionados con la continuidad de negocio (a nivel nacional e internacional), permite no sólo contrastar la situación de la muestra objeto del estudio (la propia empresa española), sino también el poder identificar posibles recomendaciones. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 5 de 21

6 2 PRINCIPALES RESULTADOS Se muestran a continuación los principales resultados obtenidos tras el estudio: 2.1 Análisis de los niveles de seguridad en la PYME española El presente resumen confirma lo que INTECO viene anunciando en varios de sus estudios, y es que las PYME españolas perciben que se encuentran expuestas a padecer incidentes de seguridad de índole muy variada, aunque entre ellos siempre figuran los que tienen que ver con la seguridad de la información. Qué tipo de incidentes de seguridad han sufrido las PYME recientemente? El 43,3% de las PYME encuestadas afirma haber sufrido algún tipo de incidente de seguridad grave en los últimos 3 meses, entre los que se pueden destacar la falta de servicios por parte de los proveedores (16,3%), los ataques informáticos (11,1%) o la caída de sistemas de soporte (climatización, electricidad o líneas de comunicación) (8,9%). (Ver Gráfico 1): Si, además, se considera la totalidad y variedad de los diferentes incidentes de seguridad que de una u otra forma impactaron en la continuidad de las operaciones, se puede establecer como probable que las compañías puedan sufrir interrupciones. Gráfico 1: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses La compañía no ha sufrido ningún incidente de seguridad en los 3 meses Falta de servicio por parte de proveedores Ataque informático Caída de sistemas de soporte (climatización, líneas y dispositivos de comunicación, etc.) Caída de mis sistemas/aplicaciones Multas, sanciones Inundación, terremoto, incendio Perdida de datos de negocio críticos Baja de personal crítico Daño físico en instalaciones/equipos Otros NS/NC 16,3% 11,1% 8,9% 7,4% 4,4% 3,6% 1,7% 1,7% 1,4% 2,0% 8,1% 56,7% 0% 20% 40% 60% 80% 100% Base: Total PYME y casos de éxito (n=429) La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 6 de 21

7 Este hecho refuerza la idea de que nunca se sabe que evento puede padecer una organización provocando la paralización de sus actividades, ya que estos dependerán en gran medida de cada casuística concreta. Cuáles han sido las causas desencadenantes de los incidentes sufridos? A la hora de identificar las principales causas que han podido desencadenar estos incidentes de seguridad (ver Gráfico 2), y a pesar que las respuestas son variadas, existen tres motivos (el desconocimiento de la amenaza con un 6,9%, la mala u obsoleta configuración de los sistemas -6,8%-, y la escasa eficacia de las herramientas de prevención asociadas con un 3,1%) que refuerzan la idea de que las PYME pueden no ser conscientes de los riesgos a los que se enfrentan y consecuentemente las medidas adoptadas para hacer frente a los mismos no son eficaces porque realmente no conocen ni priorizan las amenazas a las que deben hacer frente: Gráfico 2: Causas de los incidentes de seguridad (%) Desconocía la amenaza Sistemas obsoletos Sistemas mal configurados Disponía de herramientas pero no han sido efectivas Conocía la amenaza pero no sabía cómo prevenirla Mal asesoramiento No disponía de herramientas para prevenirla Conocía el riesgo pero no disponía de presupuesto Otras 6,9% 3,7% 3,1% 3,1% 2,9% 2,7% 1,6% 0,9% 10,9% 0% 20% 40% 60% 80% 100% Base: PYME que han sufrido algún incidente de seguridad (n=372) El análisis más en detalle de otras causas indicadas por los participantes desvela que en su mayor parte las empresas que contestaron dicha opción aplican la responsabilidad a un fallo en el servicio por parte de los proveedores (61,1%) que de una forma u otra contribuyen a mantener activas las actividades de negocio. Qué medidas de respuesta se han adoptado tras los incidentes sufridos? Analizando el grado de implantación de medidas de seguridad como respuesta a los incidentes sufridos en aquellas PYME que han padecido algún evento de seguridad adverso, se desprenden las siguientes conclusiones: La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 7 de 21

8 Las organizaciones cuentan con ciertas medidas de seguridad ya implantadas. Principalmente, realización de copias de seguridad (87,8%), adquisición de software o hardware (79,7%) y consulta o solicitud de soporte a expertos (79,2%). De cara a un futuro inmediato, las PYME tienen pensado dotarse de mayor conocimiento acerca de la adopción de planes de continuidad de negocio (25,4%), adoptar medidas que garantizan la continuidad de las operaciones en caso de contingencia (22%) o establecer acuerdos con terceros (18,9%). Por otro lado, el estudio muestra que existen una serie de medidas que las PYME no tienen implantadas ni tienen pensado implantar, como la adopción de un proceso de gestión de riesgos (64,6%) o contratación de servicios de seguridad física (64,6%). Gráfico 3: Medidas de seguridad destinadas a garantizar la continuidad de sus operaciones Realización de copias de seguridad Adquisición de SW/HW Consultar a un experto Redundancia de equipos y/o comunicaciones Contratación de un seguro Sistemas detección/extinción incendios Adopción medidas que garantizan la continuidad Contratación de asesoría externa Sistemas de climatización Mejora realización de copias de seguridad Buscar más información sobre la materia Establecimiento acuerdos con terceros Adquisición nuevo producto de seguridad Adquisición/alquiler centro de respaldo alternativo Adopción proceso gestión de riesgos Contratación servicios seguridad física Otras 87,8% 79,7% 79,2% 0,3% 0,3% 12,2% 20,0% 20,5% 74,0% 9,2% 16,8% 63,6% 15,5% 20,9% 62,4% 37,6% 62,3% 22,0% 15,7% 59,2% 0,4% 40,4% 53,8% 46,2% 52,0% 12,1% 35,9% 45,6% 25,4% 29,0% 43,4% 18,9% 37,7% 40,1% 12,4% 47,5% 47,2% 10,9% 41,9% 35,4% 64,6% 35,4% 64,6% 54,8% 14,5% 30,6% 0% 20% 40% 60% 80% 100% Ya implantada Lo voy a implantar Ni la he implantado, ni la implantaré Base: PYME que han sufrido algún incidente de seguridad (n=372) Se exigen requerimientos de seguridad a los servicios prestados por terceros? En este sentido, y derivado también del estudio, no parece que las empresas participantes sean conscientes de que la disponibilidad de sus operaciones pueda depender de forma importante de las garantías de continuidad de sus proveedores. De hecho, como se muestra en el Gráfico 4, el 72% de las pequeñas y microempresas españolas entrevistadas no exigen a dichos proveedores ningún tipo de requerimiento, certificación o medida destinada a garantizar la continuidad de su servicio. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 8 de 21

9 Gráfico 4: Empresas que exigen algún tipo de requerimiento/certificación/medidas/planes que garanticen la continuidad de los servicios de sus proveedores en caso de desastre 9,3% 18,7% 72,0% Sí No NS/NC Base: Total PYME (n=400) Del 18,7% que sí demandan aspectos de continuidad de negocio a sus proveedores, los más característicos son: Calidad mínima en la entrega del servicio (22,3% de los demandantes). Servicio 24x7 (24 horas al día los 7 días de la semana) establecido contractualmente con los proveedores de los servicios más críticos o tiempos de respuesta inmediatos (14,3%). Certificados o cumplimientos de estándares de seguridad y/o continuidad (14,1%). Especificaciones a nivel contractual (11,3% de los demandantes). Cómo se consigue un grado de madurez de los procesos de gestión de riesgos que impactan en la continuidad del negocio? La mejor forma para adoptar estrategias de seguridad acordes a las necesidades y a la realidad de las empresas debe estar basada en conocer los riesgos que amenazan la continuidad de sus procesos de negocio: Identificar y priorizar los riesgos a los que una empresa debe enfrentarse. Determinar las medidas de seguridad a implantar que son más adecuadas en función de los riesgos previamente identificados. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 9 de 21

10 Del análisis inicial de las respuestas obtenidas, se obtiene que un 38,3% de las empresas participantes mantiene un proceso de gestión abordado de forma periódica para hacer frente a los riesgos que pueden afectar a la continuidad de sus operaciones, lo que denota a priori cierto nivel de preocupación y proactividad al respecto (ver Gráfico 5). Gráfico 5: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos de continuidad (%) 4,6% 16,1% 24,2% 71,2% 16,8% 38,3% No NS/NC Sí, pero solo ocasionalmente y cuando el presupuesto y la carga de trabajo lo permite Solo en contadas ocasiones Sí, es un proceso optimizado, gestionado y abordado periódicamente Base: Total PYME (n=400) Qué tiempos máximos de interrupción pueden tolerar las PYME? Para analizar la congruencia entre las medidas de seguridad implantadas y las necesidades reales de continuidad que exigen los distintos sectores de actividad, se ha tratado de identificar con las PYME participantes en el estudio el tiempo de inactividad máximo que, tras una interrupción, podrían soportar antes de afrontar un impacto severo sobre las finanzas, las operaciones o la propia imagen de la compañía (ver Gráfico 6). Independientemente del sector de actividad, el 35,8% de las empresas afirman no poder permitirse la paralización de sus actividades críticas, lo que fortalece la importancia y la criticidad de adoptar planes de continuidad de negocio en cualquier tipo de PYME. Del mismo modo, sólo un 17,5% de las pequeñas y microempresas españolas encuestadas podría mantener sus actividades paralizadas durante más de 5 días sin que este hecho supusiese un impacto severo para la compañía. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 10 de 21

11 Gráfico 6: Tiempo máximo permitido de interrupción de las actividades de negocio de las PYME 100% 80% 60% 40% 35,8% 20% 11,7% 22,6% 12,5% 17,5% 0% Inmediatamente Más de 12 horas Más de 24 horas Más de 48 horas Más de 5 días Base: Total PYME y casos de éxito (n=429) 2.2 Cultura y conocimiento de la PYME española en materia de continuidad de negocio A la hora de valorar los resultados obtenidos en cuanto al nivel de conocimiento de cultura de continuidad de negocio, se hace patente, en mayor medida, las dificultades afrontadas por las organizaciones para discernir claramente conceptos clave en esta materia. Pese a que un 33% de las PYME afirma estar familiarizada con los conceptos de continuidad de negocio, de ellas el 21,7% conoce realmente la diferencia entre los términos de Plan de Continuidad de Negocio y Plan de Recuperación ante Desastres (ver Gráfico 7).. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 11 de 21

12 Gráfico 7: Empresas familiarizadas con conceptos de continuidad de negocio (%) 6,0% 12,5% 33,0% 3,8% 61,0% 16,7% No NS/NC Sí, absolutamente Sí, están presentes de cara a la gestión del negocio aunque no los conozco en profundidad Tan solo vagamente, he oído hablar de ello ocasionalmente Base: Total PYME (n=400) Estos niveles de conocimiento y formación en la materia son indicadores que pueden ser comparados con los obtenidos en otros estudios a nivel internacional y que reflejan menor interés y sensibilidad en la PYME española por los aspectos relacionados con la continuidad de negocio. El mayor grado de conocimiento lo muestran empresas pertenecientes a los sectores de actividades profesionales, científicas y técnicas (31,8%) y las dedicadas a la actividad tecnológica (18,2%) mientras que los sectores de educación, actividades sanitarias o servicios sociales son los que muestra mayores carencias en este sentido. No se aprecian apenas diferencias cuantitativas entre los niveles de conocimiento de las PYME, cuando el análisis se segrega por tamaño de las entidades. 2.3 Análisis de los niveles de adopción de medidas o planes de continuidad de negocio en la PYME española Tal y como se deriva de los resultados del estudio, las PYME españolas se caracterizan en materia de continuidad de negocio por su desconocimiento casi general sobre qué es la continuidad de negocio y cuál es realmente la importancia que ésta tiene en el día a día de sus operaciones. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 12 de 21

13 Qué empresas han definido algún tipo de estrategia de continuidad de negocio? En el presente estudio, se concluye que el 38,4 % de las PYME afirma contar con algún tipo de estrategia enfocada a garantizar la continuidad de su negocio en caso de una incidencia o desastre. Dentro de este colectivo, se incluyen tanto aquellas entidades que han definido estrategias para la continuidad de sus operaciones (16,7%) como aquellas que cuentan con procedimientos que garanticen exclusivamente su recuperación a nivel tecnológico (21,7%). Gráfico 8: Empresas que cuentan con alguna estrategia de continuidad de negocio (%) 4,3% 16,7% 57,3% 38,4% 21,7% No NS/NC Sí, elaborada e implantada Sí, aunque solo permite recuperar el entorno tecnólogico Base: Total PYME (n=400) Los motivos por los cuales las empresas carecen de un plan formal son variados y vienen derivados, en gran medida, por dificultades o barreras a la hora de afrontar el desarrollo e implantación de la estrategia. La reducida probabilidad con la que contemplan la ocurrencia de crisis o desastres, o la falta de tiempo, recursos y/o presupuesto son algunas de las barreras denunciadas por las PYME en este sentido. Del mismo modo, el desconocimiento y la falta de experiencia en la materia provocan que un gran porcentaje de las entidades que adoptan medidas de continuidad decidan acudir al soporte y apoyo externo en alguna de las fases de desarrollo del plan (42,4%). Qué razones incentivan a la implantación de planes de continuidad de negocio? Por otro lado, igual de importante es conocer los estímulos que han potenciado una implicación de las organizaciones en materia de continuidad. Aunque garantizar la disponibilidad de las operaciones de negocio figura como uno de los principales objetivos perseguidos con el desarrollo de planes de continuidad, paulatinamente se aprecia un La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 13 de 21

14 mayor peso de argumentos estratégicos como Mejorar la reputación e imagen pública de la empresa o Adquirir ventajas competitivas. Gráfico 9: Principales estímulos para implantar planes de continuidad de negocio Garantizar la disponibilidad de las operaciones de negocio en caso de crisis Reputación y protección de la imagen pública de la empresa Ventaja competitiva frente a otros competidores del mercado Requerimientos del cliente Como respuesta a un requerimiento de auditoría interna/externa Cumplimiento de requerimientos regulatorios/legales Alinearse con los principales estándares de la industria de seguridad Anteriores interrupciones en las operaciones de negocio En respuesta a posibles pandemias (gripe A) 2,7% 5,6% 13,9% 4,7% 73,1% 10,6% 9,2% 9,3% 29,7% 41,1% 23,6% 14,5% 7,4% 23,1% 31,4% 13,5% 14,5% 13,8% 28,3% 30,0% 35,1% 8,3% 14,5% 15,2% 26,9% 10,7% 20,6% 16,3% 26,6% 25,8% 17,4% 23,1% 15,5% 26,3% 17,8% 26,8% 16,2% 19,9% 22,2% 14,8% 57,7% 28,9% 3,5% 8,9% 1,0% Otros 2,6% 23,3% 2,4% 11,8% 59,9% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% (1) Nada importante (2) Poco importante (3) Importante (4) Bastante Importante (5) Muy importante Base: PYME que disponen de estrategia (n=199) Qué motivos inducen a las PYME a no disponer de medidas de continuidad de negocio? El análisis de los motivos por el que las PYME alegan no disponer de medidas de continuidad de negocio permite extraer algunas conclusiones (ver Gráfico 10): Aproximadamente la mitad de las pequeñas y microempresas españolas carecen de la sensibilización, formación y concienciación necesaria para considerar la criticidad de que sus compañías dispongan de medidas de respuesta frente a situaciones de contingencia grave. A su juicio estas situaciones tienen una probabilidad tan baja de ocurrencia que no compensa invertir en tales medidas y prefieren asumir el riesgo (19,1%). Otro 14,2% indica que es un gasto innecesario teniendo en cuenta el coste de su implantación. En definitiva, tienen una percepción errónea de los riesgos/amenazas que pueden estar padeciendo y de que la probabilidad de que acontezca una contingencia que, de no ser atajada a tiempo, puede convertirse en grave. Falta de fondos y recursos presupuestarios para cubrir las medidas necesarias (15,1%). La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 14 de 21

15 Gráfico 10: Razones por las que las empresas no implementan planes de continuidad Considero muy reducida la posibilidad de que ocurra una crisis/desastre No dispongo de personal capacitado ni del tiempo necesario Presupuesto insuficiente Es un gasto innecesario teniendo en cuenta el coste de implantación Tengo otras debilidades de seguridad que son más prioritarias Falta de apoyo por parte de la empresa (del negocio, de la dirección o de los propios empleados) Falta de apoyo por parte de las líneas de negocio Falta de visibilidad y liderazgo dentro de la organización Otros NS/NC 19,1% 16,7% 15,1% 14,2% 7,7% 1,2% 0,2% 0,1% 10,0% 12,5% 0% 20% 40% 60% 80% 100% Base: PYME que no disponen de estrategia (n=201) Qué demanda de asesoramiento externo hay en cuanto al desarrollo de estrategias de continuidad de negocio? Derivado del estudio, se debe tener en cuenta que la mayor parte de las empresas participantes no disponen de los conocimientos y la experiencia necesaria para abordar procesos de estas características, así como la objetividad e independencia para identificar los recursos y procesos críticos de la compañía. De esta forma, casi la mitad de las PYME (el 44,4%) que han emprendido programas de continuidad de negocio han requerido de asesoramiento externo (ver Gráfico 11). Por otro lado, el 49,2% disponen de sus propios medios técnicos, de conocimiento, etc., para poder abordar con éxito las acciones de respuesta a aplicar ante una interrupción del servicio. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 15 de 21

16 Gráfico 11: Empresas que han requerido asesoramiento externo para abordar programas de continuidad de negocio (%) 6,4% 44,4% 49,2% Sí No NS/NC Base: PYME que disponen de estrategia (n=199) 2.4 Análisis comparativo de la gestión de la continuidad de negocio en la empresa española según su tamaño Frente a la situación de la PYME, las grandes empresas españolas disponen de más medios, recursos y sobre todo mayor nivel de concienciación para terminar imponiéndose la idea de que adoptar planes de continuidad de negocio es crítico para una organización. De hecho, tal y como se puede ver en el Gráfico 12, el 81,1% de las grandes empresas han adoptado planes de continuidad de negocio (frente al 38,4% de las PYME que han desarrollado alguna iniciativa en este sentido). Además, la mayoría de las grandes empresas disponen de más personal para llevar a cabo este tipo de gestión. Personal que, en la mayoría de las ocasiones, dedica la totalidad de su jornada laboral. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 16 de 21

17 Gráfico 12: Comparativa del grado de implantación de Planes de Continuidad de Negocio 100% 80% 81,1% 60% 57,3% 40% 38,4% 20% 0% 18,9% 4,3% 0,0% Sí No NS/NC PYME Gran Empresa Base: Total PYME (n=400) y gran empresa (n=253) La situación de la PYME es drásticamente distinta, ya que debe centrarse en la producción del día a día y, simplemente la tarea de mantener a flote su actividad de negocio y sobrevivir en el mundo empresarial, se convierte en su principal objetivo. Esta prioridad en los objetivos provoca que otros aspectos importantes como la gestión de la continuidad queden en el olvido o, al menos, en un segundo plano. 2.5 Mejores prácticas de continuidad de negocio Una parte del presente estudio se ha querido enfocar hacia aquellas PYME que actualmente cuentan con algún tipo de estrategia o plan de continuidad exitosamente definido. A las 29 organizaciones elegidas como base muestral en este apartado, se les ha consultado sobre los factores clave o buenas prácticas que han debido desarrollar para lograr la implantación eficaz de sus medidas y, adicionalmente, los beneficios asociados a su implantación. En la línea de lo estipulado en los principales estándares en la materia, las PYME coinciden en que las siguientes son buenas prácticas de actuación que facilitarán el desarrollo de las medidas de continuidad tanto desde un punto de vista estratégico, como táctico u operativo: Contar con el apoyo y compromiso de la dirección. Analizar a priori los riesgos a los que está sometida la entidad. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 17 de 21

18 Definir los sistemas y aplicaciones críticos dentro del alcance. Recurrir a asesoramiento externo. Adquirir el Software y Hardware adecuados. Evaluar periódicamente la eficacia y el rendimiento de las medidas implementadas. Según declaraciones de las propias organizaciones, la adopción de las buenas prácticas comentadas facilita implantar eficazmente una política de continuidad y, consecuentemente, obtener beneficios tales como reducir los tiempos de respuesta ante situaciones de crisis o controlar los posibles impactos financieros y operativos. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 18 de 21

19 CONCLUSIONES Y RECOMENDACIONES Existe un desconocimiento general entre la PYME española sobre la multitud de riesgos a los que se encuentra expuesta, su probabilidad de ocurrencia y las consecuencias que éstos pueden llegar a provocar. Esta percepción errónea de los riesgos provoca que las empresas opten por asumirlos inconscientemente y que su posición sea mayoritariamente reactiva, es decir, solo cuando sufren incidentes de seguridad graves es cuando se despierta su interés y su predisposición a fortalecer la resistencia de sus operaciones. Ante estos resultados, los planes de continuidad de negocio se evidencian como una necesidad para mitigar los impactos que tienen o puedan tener interrupciones graves en la operativa de negocio. La adopción de estas medidas choca de lleno con tres barreras principales: Esfuerzos centrados en la gestión del día a día hacen evidenciar falta de recursos. Los resultados de la ecuación Coste / Beneficio aparentemente no son favorables para el empresario. La percepción errónea de nunca pasa nada implica pensar que la continuidad es un gasto innecesario. La falta de conocimientos y necesidad de contar con especialistas externos que asesoren en la implantación de medidas repercute en un incremento de los costes. Se necesita por lo tanto un impulso específico en la puesta en marcha de servicios de apoyo para la implantación de Planes de Continuidad de Negocio en las PYME, como puede ser: Formación orientada a despertar el interés y la preocupación en las PYME, así como el conocimiento de los riesgos a los que se enfrentan. Oferta adecuada a la PYME de servicios que permitan cubrir todos los ámbitos de actuación del BCP (tecnológicos, Operacionales, Servicios de gestión, Financieros, Legales, Logísticos, etc.). Una mayor concienciación y herramientas eficaces que permitan a la PYME rehacer el cálculo de la ecuación de Coste / Beneficio para priorizar mejor los recursos de los que dispone y valorar las inversiones. La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 19 de 21

20 ÍNDICE DE GRÁFICOS Gráfico 1: Incidentes de seguridad sufridos por las PYME en los últimos 3 meses...6 Gráfico 2: Causas de los incidentes de seguridad (I) (%)...7 Gráfico 3: Medidas de seguridad destinadas a garantizar la continuidad de sus operaciones...8 Gráfico 4: Empresas que exigen algún tipo de requerimiento/certificación/medidas/planes que garanticen la continuidad de los servicios de sus proveedores en caso de desastre..9 Gráfico 5: Empresas que realizan algún tipo de acción orientada a hacer frente a los riesgos de continuidad (%)...10 Gráfico 6: Tiempo máximo permitido de interrupción de las actividades de negocio de las PYME...11 Gráfico 7: Empresas familiarizadas con conceptos de continuidad de negocio (%)...12 Gráfico 8: Empresas que cuentan con alguna estrategia de continuidad de negocio (%) 13 Gráfico 9: Principales estímulos para implantar planes de continuidad de negocio...14 Gráfico 10: Razones por las que las empresas no implementan planes de continuidad..15 Gráfico 11: Empresas que han requerido asesoramiento externo para abordar programas de continuidad de negocio (%)...16 Gráfico 12: Comparativa del grado de implantación de Planes de Continuidad de Negocio...17 La PYME española ante los riesgos y la implantación de Planes de Continuidad de Negocio Página 20 de 21

21