Gestión de la continuidad del negocio (BCM): Escenarios de peor caso

La investigación exploratoria anual del BCI (Instituto de Continuidad del Negocio) evaluó el grado de preparación de 568 organizaciones de todo el mundo y el resultado indica que el 85% de los gerentes de continuidad temen a la posibilidad de un ataque cibernético, y el 80% a la posibilidad de una fuga de datos similares a los sufridos por Carphone Warehouse y Sony.

Un reciente informe de la industria destaca el costo anualizado de los delitos cibernéticos por empresa del Reino Unido que es ahora de £ 4,1 millones, un aumento del 14% en valor medio desde el 2015.

La interrupción de la cadena de suministro se mantuvo entre las 10 primeras amenazas para la continuidad de negocio.

Para el 2016 el Top Ten de las amenazas para la continuidad del negocio, refleja que la preocupación por la interrupción de la cadena de suministro se mantuvo entre las 10 primeras, y además casi la mitad de los encuestados (47%) identificó la creciente complejidad de la cadena de suministro como una tendencia.  Las preocupaciones sobre la disponibilidad de talento y habilidades clave entraron en el Top Ten por primera vez este año, con el 13% de los encuestados indicando que están “extremadamente preocupados” y 34% “preocupados” por la amenaza.

Top Ten de las amenazas para la continuidad del negocio en el 2016

  1. Ciber ataque – se mantiene frente al 2015
  2. Violación de datos – sube 1 puesto frente al 2015
  3. Cortes no planificados TI & TELECOMUNICACIONES – baja 1 puesto frente al 2015
  4. Acto de terrorismo – sube 5 puestos frente al 2015
  5. Incidentes de Seguridad – sube 1 puesto frente al 2015
  6. Interrupción del suministro de red – sube 1 puesto frente al 2015
  7. Interrupción cadena de suministro – baja 2 puestos frente al 2015
  8. El mal tiempo – sube 1 puesto frente al 2015
  9. Disponibilidad de habilidades clave – nueva entrada frente al 2015
  10. Salud y Seguridad incidente – nueva entrada frente al 2015

David James-Brown, Presidente del Business Continuity Institute, comentó:

La necesidad percibida por las organizaciones para identificar y aumentar la resiliencia a esta gama de amenazas, pone de manifiesto la importancia de esta encuesta para los profesionales de la continuidad del negocio.

De igual manera, manifestó que:

El panorama de la industria está cambiando rápidamente, y así debe ser nuestra disciplina con el fin de mantenernos al día con los dos desafíos tradicionales y modernos. En la parte superior de la lista de este año seguimos viendo amenazas tales como ataques cibernéticos, violación de datos y apagones no planificados de TI. Amenazas más tradicionales como el terrorismo siguen siendo las más tenidas en cuenta por las organizaciones. Dado el aumento de nuevos desafíos y el hecho de que los antiguos permanecen, técnicas como análisis de horizonte son aún más valiosos para ayudar a las organizaciones a estar preparados y desarrollar lo mejor de su potencial.

Howard Kerr, consejero delegado de BSI (British Standard Institution), comentó:

2015 registró una cifra de negocios de alto perfil en todo el mundo afectados por los ataques informáticos, por lo que es reconfortante ver que muchos son conscientes de la amenaza que representa. Nuestra investigación encuentra que es la principal preocupación en seis de las ocho regiones encuestadas. Sin embargo, seguimos preocupados de ver que las empresas todavía no están utilizando plenamente la información a su alcance para detectar y subsanar las deficiencias en su capacidad de recuperación de la organización.

El uso de Internet para ataques maliciosos se mantiene en la parte superior de las amenazas este año.

El informe también mide el sentimiento hacia las tendencias e incertidumbres específicas del negocio. El uso de Internet para los ataques maliciosos se mantiene en la parte superior este año, con un 83% lo que ha generado preocupación. La creciente complejidad de la cadena de suministro también se cuenta entre las diez primeras amenazas, y en el radar del 47% de los encuestados.

A pesar de los crecientes temores sobre la capacidad de recuperación de sus empresas, el informe registra una caída entre 3 y 7% este año en el uso de análisis de tendencias a largo plazo para evaluar y comprender las amenazas.  De quienes llevan a cabo los análisis de tendencias, una tercera parte (33%) no utiliza los resultados para informar a sus programas de gestión de continuidad de negocio.

A nivel regional, la preparación de negocio muestra comportamientos disímiles, con 9 de cada 10 (94%) organizaciones de Canadá que utilizan el análisis de tendencias, mientras que sólo 3 de cada 10 empresas (29%) en el Caribe y América Latina lo hacen. Las pequeñas empresas, evaluadas por segunda vez en el informe, siguen a la zaga con sólo el 58% utilizando el análisis en comparación con el 74% de las empresas más grandes.  El informe hace énfasis en que los crecientes costos de la continuidad del negocio exigen una mayor atención por parte de la alta dirección. Es alentador que más de la mitad (51%) de las organizaciones encuestadas, confíen en la adopción de la norma de continuidad del negocio ISO 22301.

Conclusiones

  1. La investigación exploratoria anual del BCI es un marco de referencia muy importante, así los porcentajes, alzas y bajas dentro del TOP Ten no se mantengan iguales en Colombia.
  2. Aunque mucho se habla, y genera un buen ruido para todos, la tendencia de los ciber ataques, cabe recordar que en Continuidad del Negocio lo que importa es el impacto último y no los causales por las cuales probablemente se ocasionan los ciber ataques como escenarios.
  3. En este sentido y para comprender los escenarios de peor caso de continuidad del negocio, se disponen a continuación, siguiendo la clasificación BETH3: Buildings (Edificio), Equipment (Equipo y Maquinaria), Technology (TI, Hardware/Software/Infraestructura), Human Resources (Recursos Humanos), y 3rd Parties (Dependencias)
  • Edificio:
    1. Inaccesibilidad al Edificio (Debida probablemente a: Acto de terrorismo, Huelgas, Mal tiempo, Inundaciones, Terremotos, entre otros)
    2. Inoperatividad del Edificio (Debidas probablemente a: Incidentes de Seguridad, Acto de terrorismo, El mal tiempo, entre otros)
  • Equipo y Maquinaria:
    1. Inoperatividad del Equipo y Maquinaria (Debida probablemente a: Averías, Incidentes de Seguridad, Acto de terrorismo, alta dependencia de la Cadena de Suministro, entre otros)
    2. Indisponibilidad del Equipo de Automatización (Debida probablemente a: averías, o problemas en los repuestos, entre otros)
  • Tecnología e Información
    1. Indisponibilidad de TI (Debidas probablemente a: Ciber ataque, Violación de datos, Cortes no planificados IT & TELECOMUNICACIONES, entre otros)
  • Recursos Humanos
    1. Indisponibilidad de habilidades clave (Debidas probablemente a: Huelga, Incapacidades, Ausentismo prolongado, retiros, entre otros)
  • Cadena de suministro
    1. Indisponibilidad de la cadena de suministro (Debidas probablemente a: Incidentes de Seguridad en el Inventario, Interrupción de los servicios públicos, e Interrupción de la cadena de suministro, entre otros)

Nota: Evidentemente existen muchos escenarios más, lo presentado es un aporte de Willis Towers Watson a partir del Top Ten y su equivalencia sobre el BETH3­.  La variación  abrupta de la demanda ante un evento ciudad, desafía las reflexiones del autor de esta nota.

 


jorge-mario-gomezBlogger invitado Jorge Mario Goméz J, MBA. MBCP, MBCI  – Gerente de Riesgos y Continuidad, Willis Towers Watson Colombia.

Categories: Ataques Ciberneticos, Español, Riesgos | Tags: ,

Leave a Reply

Your email address will not be published. Required fields are marked *