El apagón tecnológico acontecido recientemente, consecuencia de la actualización defectuosa de un antivirus a los sistemas operativos Windows, de Microsoft, por parte del grupo estadunidense de ciberseguridad CrowdStrike Falcon, mostró los riesgos de la tendencia global hacia tecnologías digitales e interconectadas.
La actualización defectuosa del software desencadenó problemas que llevaron a suspender miles de vuelos, obligaron a las cadenas de televisión a dejar de transmitir y dejaron a los clientes sin acceso a servicios de salud, bancarios, de transportes y otras industrias en todo el mundo.
En plena temporada vacacional, el fallo cibernético provocó perturbaciones en aeropuertos internacionales, desde Hong-Kong,Ámsterdam, Berlín, Zúrich, Londres, Singapur, Madrid, Nueva York y Brasilia, entre otros, donde se repitieron escenas de filas multitudinarias. De los más de 110 mil vuelos comerciales programados para el viernes, cerca de 3 mil fueron cancelados y 24 mil registraron retrasos en el mundo. Los expertos estiman que l afectación es incuantificable, como los de un desastre natural, sólo que en este caso los responsables tiene nombre y apellidos.
Esta falla puso en el punto de mira a CrowdStrike, entre cuyos clientes están los gigantes tecnológicos Amazon y Microsoft. La Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos se percató de que piratas informáticos utilizaron la interrupción para suplantación de identidad y otras actividades maliciosas. Los expertos afirmaron que la interrupción de servicios puso de manifiesto los riesgos de un mundo cada vez más conectado a Internet y que depende de un único proveedor para servicios tan diversos. Este suceso revela lo complejos e interrelacionados que son los sistemas informáticos mundiales y lo vulnerables que son a un error.
Más allá de lo que significó para las firmas protagonistas, la reflexión en torno a esta falla debe involucrar a todas las empresas afectadas, obligadas a suspender o proporcionar sus servicios con fallas y retrasos, lo cual ocasionó serios trastornos en su operación, con las consecuentes pérdidas económicas y lesiones en su reputación corporativa.
Las empresas afectadas y en general todas las compañías deben anticiparse a eventos como el acontecido hace unas semanas, mediante la implantación de un Plan de Continuidad de Negocio, que garantice su operación a pesar del surgimiento de factores internos o externos que la amenacen.
¿Cuál será el impacto a la empresa cuyos servicios o procesos dejan de funcionar? ,¿qué ocurriría en caso de perder clientes?, ¿cuál sería el impacto financiero por tener a la plantilla laboral inactiva durante una contingencia?, ¿cómo podría afectar desde el punto de vista legal?
Estos y muchos otros escenarios se deben prever para tener una idea de la magnitud del daño que se puede sufrir y cuáles son los procedimientos a ejecutar al momento de una interrupción del servicio para minimizarlos. Para ello es menester la implantación de un plan de continuidad de negocio o BCP, por sus siglas en inglés (Business Continuity Planning). El BCP es un documento que describe los procesos y sistemas de la empresa, sus posibles fallas y cómo atenderlas. Incluye planes de contingencia para los problemas que puedan presentarse en diferentes ámbitos de la empresa, bien sea por ciberataques, desastres naturales o cualquier error que ponga en riesgo su correcto funcionamiento. Es más completo que un plan de recuperación ante desastres (Disaster Recovery Plan-DRP), debido a que describe cómo seguirán funcionando los procesos empresariales, la infraestructura de las tecnologías de la información, recursos humanos, los activos y los socios de negocio durante una interrupción no programada de un servicio, tanto a corto como a largo plazo.
Esta guía establece los procedimientos de gestión de riesgos para evitar la interrupción de los servicios y los procesos más esenciales. Suele incluir una lista de comprobación con el equipamiento, los suministros, las copias de seguridad de los datos y las ubicaciones de esas copias de seguridad. Además, debe tener información de contacto del personal de emergencia y esencial, así como de los proveedores de los sitios de respaldo.
El plan de continuidad de negocio de una organización está basado en la Norma ISO 22301, un estándar internacional que reúne 109 requisitos que deben cumplirse para enfrentar algún incidente antes de que genere una crisis interna y externa.
Esta normativa fue creada por la Organización Internacional de Normalización (ISO) y está vigente desde mayo de 2012. Busca reducir la posibilidad de que se produzcan incidentes que ocasionen interrupciones en la empresa y garantizar su recuperación gracias a la implementación de un sistema de gestión de continuidad.
Entre los beneficios de la norma ISO 22301 se encuentran la coordinación entre los empleados, contar con las respuestas necesarias en caso de una crisis, la identificación de los riesgos y el mejoramiento de la reputación. A una empresa se le puede hacer una auditoría de conformidad con esta norma. Al obtener la certificación, la compañía le demuestra a los clientes, proveedores y empleados que está blindada en materia de gestión de continuidad.
