En un mundo cada vez más interconectado y dependiente de la tecnología, la resiliencia y la continuidad del negocio se han convertido en pilares fundamentales para las organizaciones. Antar Poixtan, Gerente Comercial de Scientia México nos ofrece una visión detallada de la transformación que han experimentado estos conceptos en las empresas, hasta convertirse en una prioridad estratégica que impacta en todos los niveles de una organización.

1. ¿Cómo ha evolucionado el tema de continuidad de negocio de hace 5 años a la fecha?

La crisis de la pandemia llevó a muchas organizaciones a reflexionar sobre determinados aspectos empresariales a los que no se les había prestado atención en la última década, haciendo que buscaran y exploraran nuevas formas de ser más proactivas en lugar de reactivas.

Durante este periodo diversas organizaciones se centraron en implementar y desarrollar nuevas prácticas de trabajo remoto, así como en avanzar hacia una planificación previa a una próxima crisis.

Las empresas actualmente no solo se enfrentan a desafíos desde el punto de vista competitivo sino también desde ámbitos que son internos, como seguridad, continuidad y adaptabilidad.

Además de lo anterior, hay dos conceptos que se han popularizado en estos últimos 5 años: el plan de recuperación ante desastres o DRP y el plan de continuidad del negocio o BCP.  Estos se implementan para asegurar la continuidad de la operación de una organización.

El DRP es un plan estratégico y detallado que una organización desarrolla para garantizar la rápida recuperación de los sistemas de TI tras un desastre o interrupción, mientras que el BCP es un conjunto de procedimientos y estrategias documentadas que garantizan que las operaciones esenciales de una organización continúen funcionando ante situaciones de interrupción o desastres. Este último va más allá de la recuperación de datos y sistemas de TI, abordando de forma globalizada la continuidad de todas las áreas del negocio.

Es como si el BCP fuera una casa y el DRP solo representa a un cuarto, ambos reflejan el mismo compromiso de una organización con la resiliencia y la previsión estratégica, pero de distintas formas.

2. ¿Porque el tema de continuidad de negocio y resiliencia debe verse desde el consejo?

Aunque estos temas están comenzando a resonar en la alta dirección, falta camino por recorrer, ya que actualmente son abordados principalmente por el área de tecnologías de la información principalmente.

Es importante que el consejo o el área directiva sea consciente de que el contar con herramientas como el DRP o el BCP brinda confianza y tranquilidad, ya que los Stakeholders incluyendo empleados, clientes y accionistas pueden tener la confianza de que la empresa está preparada para enfrentar cualquier tipo de eventualidad.

Un aspecto clave de un plan de continuidad es el análisis del impacto en el negocio o BIA, el cual estudia las potenciales consecuencias de una interrupción en las operaciones, identifica las funciones críticas y cuánto tiempo pueden estar inactivas sin causar daño irreparable. Definir este impacto, le brinda al consejo un panorama más claro de cómo pueden sobrepasar estas contingencias.

Con tantas amenazas la capacidad de recuperación de datos es la única forma de garantizar que una organización se pueda rehacer de cualquier ataque, desastre natural, error de hardware o cualquier otro incidente humano.

3. ¿Cuáles son las principales preocupaciones del CIO y el director de seguridad en torno a temas de continuidad de negocio, gestión de riesgo y resiliencia?

Según el estudio Global CIO Survey de Logicalis, en el que participaron más de mil responsables de áreas de TI de 28 países, hay 5 focos de atención principales para los CIOs y los directores de seguridad, los cuales son:

1. Ciberseguridad: cómo van a proteger tanto a la organización como a sus clientes de las ciberamenazas que evolucionan constantemente.
2. Innovación: qué tecnologías debe implementar la empresa para estar a la vanguardia.
3. Transformación digital: cómo sacarle el mayor provecho a las herramientas digitales que se implementen.
4. Uso de los datos: cómo protegerlos y utilizarlos de manera segura y confiable.
5. Creación de una estrategia sólida centrada en la experiencia del cliente: cómo mejorar la experiencia que se provee a los usuarios mediante la tecnología.

En relación al tema de ciberseguridad, los principales riesgos identificados por los CIOs para sus empresas, el 47% considera que es el tema de las filtraciones de datos. Por otro lado, el 53% de los encuestados menciona que son los ataques de malware y ransomware debido a que estos tienen varios puntos de entrada hacia las organizaciones.

Por último, hay tres prioridades para esos tomadores de decisiones del área de TI que son: la continuidad del negocio, la resiliencia y la eliminación de riesgos.

4. ¿Cuáles consideras tú que son los principales riesgos a los que se enfrentan las organizaciones en términos de gestión de riesgos, resiliencia y continuidad de negocio en la actualidad?

En primer lugar está el aumento de ciberataques, los cuales tan solo en febrero de 2024 afectaron alrededor de 720 millones de registros de las organizaciones. Además, según un estudio de la IDC, el 43% de las organizaciones sufrió una pérdida de datos irrecuperable en los últimos 12 meses y el 63% ha sufrido algún tipo de interrupción comercial en el mismo periodo.

Según Antar Poixtan “ya no se trata de si va a suceder una pérdida de datos o una interrupción comercial, sino de cuándo y qué tan preparada está la organización para cuando ocurra una contingencia de este tipo”.

Otros desafíos de una pérdida de datos son las horas extra de los colaboradores, sobre todo del área de tecnologías de la información, ya que cuando se sufre un ataque, estos trabajadores especializados deben de estar el tiempo que sea necesario hasta lograr solucionar el problema. Esto genera pérdida de productividad porque el personal se enfoca en recuperar la información o en tener esa resiliencia.

Además de lo anterior hay un costo directo de recuperación, ya que en ocasiones las organizaciones carecen de especialistas para la recuperación de datos y se ven obligadas a contratar trabajadores externos especializados en el tema para resolver los problemas.

En septiembre del 2023, por ejemplo, la cadena de hoteles y casinos, MGM Resorts fue víctima de un ataque de ransomware en donde se comprometió la información personal de sus clientes y provocó la interrupción de sus sistemas por más de 9 días. 

El ciberataque tuvo un impacto calculado de alrededor de $100 millones de dólares en los ingresos de la compañía, demostrando los grandes riesgos financieros y de reputación asociados con los ciberataques, así como la importancia de estar preparados para estos.

5. ¿Cómo se debe abordar la adaptación de las estrategias de continuidad del negocio y gestión de riesgos?

Hay 5 fases que se deben de seguir para adaptar estrategias de continuidad efectivas:

1. Prevención: implica tomar medidas prácticas para prevenir o minimizar el impacto de posibles desastres como mejorar la infraestructura, realizar evaluaciones de riesgo e implementar protocolos de seguridad.
2. Preparación: se requiere anticiparnos para manejar un desastre inminente creando o actualizando los planes de recuperación, capacitando a los empleados y asegurando que existan sistemas de respaldo adecuados.
3. Respuesta: es la acción inmediata que toma una organización durante un desastre para garantizar la seguridad y minimizar los daños. Incluye activar el plan de recuperación ante desastres, por eso es tan importante llegar a definirlo y abordarlo.
4. Recuperación: una vez pasada la amenaza esta etapa implica restaurar todas las operaciones comerciales a un estado normal.
5. Mitigación: implica realizar esfuerzos continuos para reducir el riesgo y el impacto de futuros desastres, es decir identificar lo que falló y cómo evitar que esto vuelva a suceder.

A la par de estas 5 etapas se debe tener una estrategia de copias de seguridad 3-2-1-1, que es la mejor forma de garantizar que las copias de seguridad estén siempre protegidas y disponibles.

Esta estrategia consiste en conservar tres copias de los datos, una principal y dos adicionales en diferentes formatos. Además de otra más almacenada fuera del sitio para que cuando suceda un ataque directamente en las oficinas centrales, se tenga la certeza de que hay una copia alterna con la cual la organización se puede respaldar.

Por último, se recomienda tener una copia en un almacenamiento inmutable, el cual se refiere a tener copias de seguridad que se guardan en un formato de una sola escritura y muchas lecturas, lo que significa que los archivos y bases de datos respaldados no se pueden alterar ni eliminar. La adopción de esta estrategia 3-2-1-1 es algo que se busca impulsar en las organizaciones en todo el mundo.

6. ¿Cómo fomentar una cultura de resiliencia dentro de una organización?

Hay tres pasos clave para llegar a incentivar la resiliencia:

1. Incentivar la toma de iniciativa y autonomía, ya que en ocasiones el departamento de TI presenta a la dirección propuestas de sistemas para la continuidad, porque saben que implementarlas aportará grandes beneficios a la organización, pero por temas de presupuesto o de alineación de objetivos no se aprueban.
2. Fomentar la colaboración y el trabajo en equipo: ayudará a saber cómo implementar estos planes de la manera más efectiva.
3. Propiciar un ambiente de aprendizaje continuo y adaptabilidad mediante sesiones de capacitación periódicas para actualizar habilidades y conocimientos, ya que tanto la tecnología como los negocios evolucionan constantemente. Si una organización no tiene esta visión de capacitarse continuamente para seguir innovando puede verse fácilmente rebasada por las técnicas cada vez más sofisticadas de ciberataques.

No cabe duda que tener resiliencia y un plan efectivo de continuidad de negocio son elementos esenciales para las organizaciones en 2024, ante las amenazas crecientes de ciberseguridad. Adoptar estrategias como el DRP y el BCP y fomentar una cultura de resiliencia y aprendizaje continuo son pasos cruciales para enfrentar los desafíos de la era digital.