Los planes de continuidad de negocio en las empresas necesitan mejorar  

Los desastres e incidentes de seguridad ocurren. Es un hecho. El problema es que las organizaciones siguen planificando con poco tiempo una respuesta a estas situaciones, y eso a pesar de que la mayor parte de ellas se han visto obligadas a utilizar un plan de recuperación ante desastres en los últimos 24 meses. Así lo pone de manifiesto un estudio elaborado por Gartner en varios países en el que la consultora toma el pulso a este aspecto (cómo se gestionan estos planes de continuidad de negocio y salvaguarda de la seguridad de la información, cuál es su presupuesto en TI para acelerar el restablecimiento del servicio, etc.), muestra algunos de los errores más frecuentes en la gestión de recuperación ante desastres y aborda las claves para evitarlos.

Empresas poco previsoras

En el informe, realizado tras entrevistar a más de 900 empresas de seis países (Estados Unidos, Canadá, Reino Unido, Alemania, India y Brasil), la consultora desvela que el 75% de las empresas encuestadas planifican una estrategia de continuidad de negocio con apenas siete días o incluso menos. Un dato que llama la atención cuando el 86% de las entidades afirman haber tenido que aplicar un plan de recuperación ante desastres (lo que incluye la recuperación del negocio, la gestión de una crisis o incidente, la gestión de la recuperación ante desastres desde el punto de vista de TI, la disponibilidad de terceras partes o proveedores, etc.) en los últimos 24 meses.

Es más, según otro informe, esta vez elaborado por la firma del sector seguros Swiss Re, el número de desastres naturales y propiciados por el hombre ha aumentado exponencialmente en los últimos 40 años: mientras que entre 1970 y 1985 se daban menos de 100 anualmente de media, entre 1986 y 2013 se produjeron 150 siendo 2005 el peor año con diferencia (con más de 250 incidentes ese ejercicio).

Escasa capacidad para determinar si sus planes son efectivos

Otro de los errores detectados por Gartner es la incapacidad de la mayor parte de las organizaciones para establecer si el plan de continuidad de negocio que han definido es efectivo o no. Solo un 35% de las organizaciones consultadas abordan ejercicios para comprobar la efectividad de su plan, tan solo el 30% utiliza métricas con este fin y un 27% tarjetas de puntuación. Eso sí, la mitad, apunta la consultora, confían en los reportes de las auditorías, una práctica, asevera Gartner, algo más débil que las anteriores opciones.

Tiempo de recuperación y presupuesto

En cuanto al tiempo de recuperación ante un desastre, éste es también elevado en la mayor parte. El 76% de los participantes en la encuesta aseveran que el negocio y los sistemas de su compañía están operativos en 24 horas. Solo un 35% indica que es capaz de levantar los sistemas en menos de cuatro horas.

El informe desvela también qué sectores están más dispuestos a aumentar su presupuesto de TI para mejorar su reacción ante desastres. Estos son el sanitario (así lo cree un 71% de los encuestados de este segmento), comunicaciones (63%), transporte (56%), banca (54%) y retail (52%). Frente a estos solo un 36% de los entrevistados del sector utilities y del sector público esperan incrementar el montante para esta área en 2015. Es más, un 9% de los encuestados de estos dos últimos sectores creen que reducirán el presupuesto de TI para recuperación ante desastres este ejercicio.

Herramientas de monitorización y gestión

Curiosamente, según denota el estudio, las empresas que tienen un mayor grado de madurez a la hora de gestionar planes de continuidad de negocio utilizan software que facilita este aspecto y otros como monitorizar determinados parámetros, desde la gestión de riesgos al análisis en el impacto del negocio de los incidentes al proceso de gestión del plan de recuperación ante desastres. En general, el 50% de las organizaciones consultadas han adquirido alguna de estas herramientas en los últimos 12 meses. También están ganando ‘enteros’ en el mercado los servicios de alerta sobre desastres naturales (32% de las organizaciones los usaron), climáticos (24%), geopolíticos (23%) y otros aspectos que pueden causar una interrupción del negocio.

Esfuerzo extra para reducir la caída no planificada de aplicaciones

Un aspecto destacable y positivo del informe es el creciente número de responsables de TI que están arrancando proyectos con el fin de reducir (cuando no eliminar) la caída de aplicaciones que no esté planificada. Según Gartner, el 40% de las caídas se producen por fallos en las aplicaciones (bugs, problemas de rendimiento o cambios realizados que causan problemas); el 50% debido a errores en las operaciones, un 20% debido al hardware (problemas en los servidores, redes…), a los sistemas operativos, a factores medioambientales (relacionados con el sobrecalentamiento, por ejemplo) y a desastres.

“Las estadísticas muestran la importancia de establecer y mantener un programa centrado en la reducción, cuando no minimización, de la duración de las caídas inesperadas y el impacto que tienen en las operaciones”, reza el estudio en esta línea.

Recomendaciones

Para finalizar, desde Gartner brindan algunos consejos a las organizaciones que quieran mejorar sus planes de continuidad de negocio y su política de recuperación ante desastres.

• Definir un programa a más largo plazo, al menos tres años.
• Utilizar dicho programa para conocer cuál es la mayor franja de tiempo que la organización puede soportar cuando se ha producido un desastre u otro incidente que suponga una interrupción del negocio.
• Revisar qué seguros mantiene la empresa en el caso de que ocurra una situación de este tipo y actuar en consecuencia.
• Analizar el uso de herramientas que permitan monitorizar y gestionar planes de continuidad de negocio que ayuden a estandarizar la estrategia y que proporcionen analíticas en tiempo real y una radiografía del área operacional que permita a los responsables tomar mejores decisiones durante una crisis, incidente o desastre