En el mercado de las Tecnologías de la Información en difícil encontrar un tema sobre el que exista tanta unanimidad como en torno a la necesidad de que todas las empresas y organizaciones cuenten con un Plan de Continuidad de Negocio.

Las razones para poner en marcha un BCP tienen que ver no sólo con ataques terroristas, desastres naturales, actos vandálicos, intrusiones incontroladas, virus informáticos, interrupciones del suministro eléctrico o los inevitables errores humanos, sino también con la gran interdependencia que existe entre los datos, los sistemas informáticos y de comunicación y el funcionamiento y el negocio de las empresas.

Según una encuesta realizada por Freeform Dynamics entre más de 700 directivos TI europeos, incluidos los de nuestro país, explica Josep Micolau, Delivery Director de CA,“la pérdida de datos críticos para el negocio y el tiempo de inactividad de los sistemas clave de TI son dos de los mayores riesgos a los que se enfrentan los responsables de Tecnologías de la Información a la hora de planificar un Plan de Continuidad de Negocio. Este Plan debe permitir minimizar el tiempo de recuperación e impacto que supone cualquier incidencia que afecte al nivel de servicio de los procesos críticos de negocio”.

Para Ángel Fernández, director general de Hitachi Data Systems en España y Portugal, “una estrategia de recuperación de desastres que asegure la continuidad de los datos y, por tanto, del negocio se convierte en un aspecto de vital importancia. No es extraño que, cada vez más, los organismos judiciales, políticos y administrativos se preocupen por regular y legislar todos los aspectos relacionados con esta área”.

Desde la perspectiva de Fernando Martínez, country presales Manager de Symantec para España y Portugal, “el valor de la información se ha multiplicado en la actualidad. Por ello, la Continuidad del Negocio ha sido una de las prioridades para las empresas y las organizaciones, convirtiéndose así en uno de los pilares fundamentales en materia de gestión de seguridad, almacenamiento de datos y recuperación ante desastres”.

No sólo de vital, sino de “todo” para la empresa califica al BCP Carlos Gallego, consultor del área de Virtualización de Osiatis. “Mientras otros dominios de la seguridad tratan de la prevención de riesgos y de la protección a la infraestructura, el Plan de Continuidad de Negocio asume que lo peor ha sucedido. Este tipo de planes provee de una estructura operacional estratégica gracias a la cual la organización pueda continuar ofreciendo los productos y/o servicios a sus clientes, proveedores, empleados y socios como lo hace normalmente, en el menor tiempo posible”.

Y no son únicamente las amenazas anteriormente apuntadas las que deberían llevar a una organización a disponer de un Plan de Continuidad de Negocio. Otros puntos a tener en cuenta, según menciona este último experto, tienen que ver con el incremento de la dependencia de los sistemas de información, el aumento de la probabilidad que las salvaguardas TI sean inadecuadas o se queden obsoletas, el reconocimiento del impacto que un incidente serio de seguridad puede tener sobre la empresa, la necesidad de establecer un proceso formal para el caso de que ocurra un desastre, la intención de reducir costes y /o minimizar pérdidas en caso de incidente serio y tratar de evitar que la empresa se detenga por un problema severo. 

Todo tipo de amenazas

Antes de definir y poner en marcha un Plan de Continuidad de Negocio parece necesario saber cuáles son los ‘enemigos’ a los que, potencialmente, la empresa debería hacer frente.

Una primera clasificación de las amenazas a las que se enfrenta cualquier organización, propone Gallego, se basaría en diferenciar entre “desastres de ‘toda la vida’, tales como incendios, inundaciones, etc. y los puramente informáticos, como los producidos por denegación de servicio (DDOS) o virus informáticos. Estos últimos son los más habituales”.

En esta línea también va el comentario de Josep Micolau cuando advierte que “la mayor complejidad de las arquitecturas TI es lo que más incrementa la posibilidad de puntos de fallo. Además, actualmente existe un aumento de las amenazas externas basadas en las distintas formas de código malicioso que intentan aprovechar las brechas de seguridad y vulnerabilidad de los distintos sistemas, poniendo en riesgo la disponibilidad de los sistemas, así como la confidencialidad e integridad de la información”.

Pero, en definitiva, uno de los problemas más importantes, a juicio de Ángel Fernández, “es no haber previsto que esa situación de riesgo podía suceder y no tener preparados los mecanismos de prevención y recuperación. Aunque parezca algo trivial, a veces no se hace el adecuado análisis de riesgos de cada una de las aplicaciones informáticas de las que depende nuestro negocio para establecer los mecanismos de prevención y recuperación oportunos”.

Otro aspecto en el que incide este mismo directivo es en el de la necesidad de “realizar pruebas periódicas de los mecanismos de recuperación ante desastres para validar su correcto funcionamiento y mantener al día los procedimientos que se deben de llevar a cabo en cada caso”.

Directamente ligado a todo lo anterior, el representante de HDS apunta al problema de efectuar el seguimiento de los procesos de prevención, tales como copias de seguridad, funcionamiento de las tecnologías de copia remota de los datos, etc.