El virus que cambió a las empresas. Unas reflexiones.

AUTOR: Ana Aretxabaleta

FECHA: 24.03.2020

24 de marzo 2020. Una semana en casa y aún seguimos en proceso de adaptación, resolviendo problemas de conexión, de videollamadas imposibles, y de VPNs insuficientes. Y es que como si la claqueta de una película se tratase, en cuestión de 3, 2, 1 hemos tenido que hacer un salto al teletrabajo a marchas forzadas.

Vayamos a lo que, bajo mi punto de vista, puede ser el origen del problema. Si bien, el virus, la pandemia y todo lo que acontece han llegado “casi de golpe” la falta de un Plan de Continuidad de Negocio (en adelante, PCN) en las compañías no ha hecho más que dificultar la situación, o, como el propio nombre indica, dificultar la continuidad de los negocios.

Un Plan de estas características tiene como objetivo identificar todos los posibles escenarios de incidentes de seguridad que puedan suceder en una sociedad y aportar un plan de respuesta rápido y eficaz ante cualquiera de estos escenarios, de manera que el negocio no se vea interrumpido, o en caso de interrupción sea lo más breve y con el menor impacto posibles. Se deben identificar y plasmar en un documento los procesos de la sociedad, los activos y los recursos críticos para que la operativa de negocio pueda continuar. Este documento debe estar vivo, se deben actualizar responsabilidades de manera que esté alineado con la sociedad, se deberán probar los planes que se recojan, en definitiva debería ser un documento revisado y actualizado al menos de manera anual.

Hace aproximadamente mes y medio, empezábamos a leer noticias sobre problemas en sociedades cuya cadena de suministro contaba con fábricas o empresas chinas. Empresas que tenían que buscar nuevos proveedores y nuevos materiales para sus fabricaciones. Este problema de falta de suministro, se estaba generando por una contingencia de salud. Seguramente este escenario no hubiese sido uno de los primeros contemplados en nuestro PCN, pero sí quizás, hubiésemos podido considerar una contingencia relacionada con proveedores. Esto hubiese permitido a estas sociedades actuar con agilidad y abordar las soluciones previstas en el Plan.

Algunas medidas, que se suelen considerar en estos planes se indican a continuación:

  • Disponer de unas instalaciones alternativas, se le llama sitio frio, templado o caliente (cold, warm o hot site) en leasing o alquiler de manera que se pueda trasladar la operativa a dicho lugar. O bien, disponer de una infraestructura móvil por ejemplo adaptable y reubicable. [Contingencias que afectan a instalaciones.]
  • Planificar viajes de los directivos de las sociedades en diferentes días y en diferentes medios de transporte, de manera que ante contingencia siempre haya sucesión en el cargo. [Contingencias relacionadas con los Recursos Humanos.]
  • Externalizar copias de seguridad con la información crítica de los negocios. [Contingencias que afectan a los sistemas de información.]

Y es que este PCN, no puede ser un documento existente solamente en la casa matriz de las sociedades. Por poner un ejemplo sencillo, ¿Qué pasa en una organización si hay un incendio? ¿Quién es responsable de avisar? ¿Quién se encarga de hacer sonar la alarma? Seguramente en estos casos se cuente con un plan de evacuación con una persona responsable de activar dicho plan. Pues bien, un Plan de Continuidad de Negocio es dar un paso más allá. No serán las mismas contingencias las que puedan suceder en una fábrica en España al lado del mar, que las existentes en Alemania en pleno bosque (por poner un ejemplo).

Retomando el comienzo de estas líneas, el teletrabajo ha llegado a marchas forzadas. La falta de previsión ante incidentes en las sociedades está generando interrupciones en sus operativas. No se preveía en ningún caso una necesidad de teletrabajo masivo. Compra de equipos, configuración de equipos, nuevas licencias de herramientas, y un sinfín de etcéteras con los que han tenido que lidiar los responsables de los sistemas informáticos en todas las sociedades.

Como ya se ha indicado, todas estas medidas que a la fecha se están realizando sobre la marcha y a base de cubrir las necesidades que van surgiendo, y en ningún caso anticipándonos a las mismas, conllevan un teletrabajo forzado, en el que los riesgos de seguridad se están viendo incrementados. Estos riesgos de seguridad tienen además, dos orígenes. Por un lado, la urgencia de sacar adelante el trabajo, que normalmente prima frente a la seguridad de los sistemas. Y, por otro lado, a la falta de formación de los empleados en materia de seguridad de los sistemas, de las herramientas con las que trabajan, etc.

Es ya una realidad conocida que, el eslabón más débil en las sociedades son los propios empleados. La mayoría de los ciberataques que se dan hoy en día son, en su mayoría, consecuencia de un fallo humano. Un ataque a la seguridad de una sociedad, puede derivar en una imagen de marca dañada, y a su vez una imagen de marca dañada deriva normalmente en pérdidas económicas en los negocios… y a su vez…

Podemos seguir atando cabos en este artículo pero creo que debemos replantearnos la importancia que se le está dando a la “informática” (por generalizar el término) en las sociedades cuando a día de hoy creo que es razonable asumir que gracias a esta “informática” y esta transformación digital que estamos viviendo podemos seguir trabajando muchas y muchas personas.