¿Tenemos un Plan B?
Riesgos y costes de no estar preparado para esas ocasiones en las que demasiadas cosas fallan
Lunes, 14 de febrero de 2005. García, responsable de TI y, como en tres de cada cuatro empresas españolas, responsable al mismo tiempo de la seguridad, llega a su despacho. Son las 8,30 de la mañana y todavía hay poca gente en la oficina. Enciende el ordenador y, mientras se cargan todas las pesadas security policies, se acerca a la máquina de café. Enciende su flamante blackberry que, una vez más, se dejó olvidada el viernes en la oficina: montones de mensajes recibidos que, mientras prueba ese condenado café, va consultando. Y entre ellos, uno de Don Manuel, el director general, escrito el sábado de madrugada. Sin tiempo para leerlo, oye que su teléfono suena en el despacho, y sin mucha prisa se dirige a cogerlo. Cuando finalmente consigue llegar a su mesa ve en su teléfono tres llamadas perdidas de Don Manuel, algo sorprendente, teniendo en cuenta que desde el año 99 en que el director general se había empeñado en lanzar la iniciativa de e-business, García no recordaba ni una sola llamada del “gran jefe”. Sin tiempo para devolver la llamada, de nuevo el teléfono rompió a sonar.
– García, soy Don Manuel ¿ Nosotros cómo estamos?
Como estamos de qué, pregunta para sí García. Pero antes de contestar, Don Manuel aclara, apremiante:
– Lo del Windsor, García, lo del Windsor.
– Nosotros nunca hemos tenido nada en el Windsor, Don Manuel -contesta García.
– Eso ya lo sé. Me refiero a si estamos preparados para algo como lo del Windsor.
– Hombre, pues…, más o menos, sí -susurra García algo dubitativo.
– Cómo más o menos sí. ¿Sí o no? -inquiere Don Manuel, cada vez más irritado.
– Hay cosillas. Tenemos un back-up que guardamos en el zulo (nombre con el que es conocida en la oficina la habitación donde se concentran todos los servidores) y, si pasa algo, yo puedo recibir avisos vía email en mi blackberry -comenta mientras recuerda que el pasado fin de semana se le había vuelto a olvidar en su despacho.
– Mira, García, quiero que para el viernes prepares un informe para el Consejo en el que se detalle nuestro plan de recuperación de desastres (Don Manuel había aprendido el término en un artículo que había leido durante el fin de semana), de los riesgos que corre nuestra empresa y de las medidas concretas que habéis tomado para mitigarlos. Y, por supuesto, me gustaría leer cosas como cuánto tardaríamos en poder volver a trabajar, o cuánto nos costaría recuperar la información perdida.
Como García, miles de responsables de seguridad de empresas españolas recibieron ese fatídico lunes una llamada de su director general interesándose por los planes de continuidad de negocio y recuperación de desatres. Al menos la mitad de ellos no tuvieron más remedio que reconocer que no disponían de ninguno (el 51% de las empresas españolas carecen de este tipo de planes). Y la mayoría de los que sí lo tenían tampoco fue capaz de estimar los costes potenciales y explicar la gestión de riegos que estaban llevando a cabo. Hoy un gran porcentaje de ellos siguen todavía sin disponer de un plan, porque desgraciadamente todas estas cosas se nos olvidan muy rápidamente.
¿Cuantos edificios deben arder antes de que nos conciencemos de que necesitamos un plan de continuidad de negocio? El fuego, que todo lo convierte en humo, parece que también ha quemado nuestras memorias y ya no recordamos que, según un conocidísimo estudio de la Universidad de Texas, sólo el 6% de las empresas que experimentan pérdidas catastróficas de datos logran sobrevivir, frente a un 43% que nunca podrá reabrir su negocio y un 51% que tendrá que cerrar en un plazo de dos años. Ni que, tal como publicaba The Guardian hace pocos meses, una empresa incapaz de acceder a sus datos críticos durante diez días nunca se recuperará totalmente, que el 43% de ellas irá a la bancarrota y que una parada de tan sólo cuatro horas puede costarle hasta el 30% de sus ingresos mensuales a una compañía de servicios de telecomunicaciones e infraestructura.
De riesgos, incendios y otras fatalidades
El reciente incendio del edificio Windsor en Madrid ha vuelto a poner de moda, si es que alguna vez dejó de estarlo, las soluciones de business continuity y, en un sentido más amplio, todo lo relacionado con la disponibilidad y la seguridad de los datos. Y es que la buena noticia es que en el suceso del Windsor, donde fallaron los detectores de incendio, fallaron las alarmas, falló el “factor humano”, lo único que no falló fue la tecnología de protección de datos. Sí, la vilipendiada tecnología fue la única que funcionó en el siniestro, y si no que se lo pregunten a Garrigues o a Deloitte, que en poco más de 72 horas después del incendio podían trabajar con acceso pleno a todas y cada una de las aplicaciones y los datos
“El miedo es el más ignorante, el más injusto y el más cruel de los consejos”, decía Burke hace casi dos siglos y, sin embargo, la industria de la seguridad parece llevar muchos años tratando de vender sus productos con el único mensaje del miedo, sin tener en cuenta el efecto que esto ha tenido en los usuarios. Así, el gasto en seguridad es visto por muchos directores de negocio como algo similar a un “impuesto revolucionario”. ¡El año pasado gastamos Nmil euros en que no pasara nada y este año debemos gastar Nmil por dos para que siga sin pasar nada! No es de extrañar, desde luego, que la partida del presupuesto dedicada a seguridad, por mucho que preocupe y mucho que asusten los virus, gusanos y demás fauna digital, siga siendo la primera partida en recortar si no somos capaces de convertir este gasto en una inversión. Por ello, la nueva visión de la seguridad se sitúa más cercana al concepto de confianza, entendiendo así esta inversión como una capacitadora de la generación de negocio.
Frente al miedo, el mensaje que empieza a ser común, y que a nuestro juicio es, sin duda, el mensaje del futuro (futuro que esta vez empieza ayer), es el de la inversión en seguridad para construir la confianza. Confianza entendida como la seguridad y disponibilidad suficiente para que el usuario tenga la percepción de esa seguridad/disponibilidad absoluta.
El que para bien o para mal es uno de los padres de la economía moderna, John Maynard Keynes, decía al explicar la confianza empresarial: “Para los accionistas, la confianza se traduce en rentabilidad y transparencia; para los clientes, en calidad de servicio y cumplimiento de las promesas; para los empleados, en claridad en la relación y desarrollo profesional”. Poder confiar en nuestros sistemas de información y en la disponibilidad de nuestros datos, aun en situaciones como las recientemente vividas, tendrá sin duda el mismo efecto sobre todos estos agentes:
• Sobre los accionistas, propietarios o directores: podrán dormir tranquilos al saber que “el minuto de gloria” de su empresa en las noticias no será por la caída de sus sistemas o por la pérdida de sus datos más valiosos. No olvidemos la caída del valor bursátil que produjo el fallo de los sistemas de eBay, o el efecto que puede tener en el “brand” de una firma bancaria el descubrimiento de un “agujero” en sus sistemas o una filtración de datos.
• Sobre los clientes
– García, soy Don Manuel ¿ Nosotros cómo estamos?
Como estamos de qué, pregunta para sí García. Pero antes de contestar, Don Manuel aclara, apremiante:
– Lo del Windsor, García, lo del Windsor.
– Nosotros nunca hemos tenido nada en el Windsor, Don Manuel -contesta García.
– Eso ya lo sé. Me refiero a si estamos preparados para algo como lo del Windsor.
– Hombre, pues…, más o menos, sí -susurra García algo dubitativo.
– Cómo más o menos sí. ¿Sí o no? -inquiere Don Manuel, cada vez más irritado.
– Hay cosillas. Tenemos un back-up que guardamos en el zulo (nombre con el que es conocida en la oficina la habitación donde se concentran todos los servidores) y, si pasa algo, yo puedo recibir avisos vía email en mi blackberry -comenta mientras recuerda que el pasado fin de semana se le había vuelto a olvidar en su despacho.
– Mira, García, quiero que para el viernes prepares un informe para el Consejo en el que se detalle nuestro plan de recuperación de desastres (Don Manuel había aprendido el término en un artículo que había leido durante el fin de semana), de los riesgos que corre nuestra empresa y de las medidas concretas que habéis tomado para mitigarlos. Y, por supuesto, me gustaría leer cosas como cuánto tardaríamos en poder volver a trabajar, o cuánto nos costaría recuperar la información perdida.
Como García, miles de responsables de seguridad de empresas españolas recibieron ese fatídico lunes una llamada de su director general interesándose por los planes de continuidad de negocio y recuperación de desatres. Al menos la mitad de ellos no tuvieron más remedio que reconocer que no disponían de ninguno (el 51% de las empresas españolas carecen de este tipo de planes). Y la mayoría de los que sí lo tenían tampoco fue capaz de estimar los costes potenciales y explicar la gestión de riegos que estaban llevando a cabo. Hoy un gran porcentaje de ellos siguen todavía sin disponer de un plan, porque desgraciadamente todas estas cosas se nos olvidan muy rápidamente.
¿Cuantos edificios deben arder antes de que nos conciencemos de que necesitamos un plan de continuidad de negocio? El fuego, que todo lo convierte en humo, parece que también ha quemado nuestras memorias y ya no recordamos que, según un conocidísimo estudio de la Universidad de Texas, sólo el 6% de las empresas que experimentan pérdidas catastróficas de datos logran sobrevivir, frente a un 43% que nunca podrá reabrir su negocio y un 51% que tendrá que cerrar en un plazo de dos años. Ni que, tal como publicaba The Guardian hace pocos meses, una empresa incapaz de acceder a sus datos críticos durante diez días nunca se recuperará totalmente, que el 43% de ellas irá a la bancarrota y que una parada de tan sólo cuatro horas puede costarle hasta el 30% de sus ingresos mensuales a una compañía de servicios de telecomunicaciones e infraestructura.
De riesgos, incendios y otras fatalidades
El reciente incendio del edificio Windsor en Madrid ha vuelto a poner de moda, si es que alguna vez dejó de estarlo, las soluciones de business continuity y, en un sentido más amplio, todo lo relacionado con la disponibilidad y la seguridad de los datos. Y es que la buena noticia es que en el suceso del Windsor, donde fallaron los detectores de incendio, fallaron las alarmas, falló el “factor humano”, lo único que no falló fue la tecnología de protección de datos. Sí, la vilipendiada tecnología fue la única que funcionó en el siniestro, y si no que se lo pregunten a Garrigues o a Deloitte, que en poco más de 72 horas después del incendio podían trabajar con acceso pleno a todas y cada una de las aplicaciones y los datos
“El miedo es el más ignorante, el más injusto y el más cruel de los consejos”, decía Burke hace casi dos siglos y, sin embargo, la industria de la seguridad parece llevar muchos años tratando de vender sus productos con el único mensaje del miedo, sin tener en cuenta el efecto que esto ha tenido en los usuarios. Así, el gasto en seguridad es visto por muchos directores de negocio como algo similar a un “impuesto revolucionario”. ¡El año pasado gastamos Nmil euros en que no pasara nada y este año debemos gastar Nmil por dos para que siga sin pasar nada! No es de extrañar, desde luego, que la partida del presupuesto dedicada a seguridad, por mucho que preocupe y mucho que asusten los virus, gusanos y demás fauna digital, siga siendo la primera partida en recortar si no somos capaces de convertir este gasto en una inversión. Por ello, la nueva visión de la seguridad se sitúa más cercana al concepto de confianza, entendiendo así esta inversión como una capacitadora de la generación de negocio.
Frente al miedo, el mensaje que empieza a ser común, y que a nuestro juicio es, sin duda, el mensaje del futuro (futuro que esta vez empieza ayer), es el de la inversión en seguridad para construir la confianza. Confianza entendida como la seguridad y disponibilidad suficiente para que el usuario tenga la percepción de esa seguridad/disponibilidad absoluta.
El que para bien o para mal es uno de los padres de la economía moderna, John Maynard Keynes, decía al explicar la confianza empresarial: “Para los accionistas, la confianza se traduce en rentabilidad y transparencia; para los clientes, en calidad de servicio y cumplimiento de las promesas; para los empleados, en claridad en la relación y desarrollo profesional”. Poder confiar en nuestros sistemas de información y en la disponibilidad de nuestros datos, aun en situaciones como las recientemente vividas, tendrá sin duda el mismo efecto sobre todos estos agentes:
• Sobre los accionistas, propietarios o directores: podrán dormir tranquilos al saber que “el minuto de gloria” de su empresa en las noticias no será por la caída de sus sistemas o por la pérdida de sus datos más valiosos. No olvidemos la caída del valor bursátil que produjo el fallo de los sistemas de eBay, o el efecto que puede tener en el “brand” de una firma bancaria el descubrimiento de un “agujero” en sus sistemas o una filtración de datos.
• Sobre los clientes
