logo-cibernos

¿Quieres estar al día con las noticias de Cibernos LATAM?

Noticias Cibernos LATAM
 

Advertencia: Por qué necesitas calcular el impacto económico de un desastre de IT

Advertencia: Por qué necesitas calcular el impacto económico de un desastre de IT

Es muy probable que a lo largo de tu vida profesional, en alguna ocasión experimentes una interrupción del servicio, un fallo del sistema o incluso un desastre que afecte a toda la infraestructura de la información digital de tu organización.
Ésta es una realidad difícil de asumir, no sólo desde el punto de vista técnico, sino también económico. Por ello, es necesario tomar medidas de prevención que llevarán implícitos costes económicos aparentemente intangibles. Para muchos, es difícil justificar esta inversión por su carácter inmaterial. Entonces, ¿cómo justificar una inversión cuyo ROI aparenta ser cero?
En este post trataré de explicarlo.

El problema de justificar el coste de un sistema de recuperación de desastres

Nadie quiere ser víctima de un desastre de los sistemas de información en su organización. Es por eso que, a priori, el ROI de cualquier recurso invertido para prevenir dicho desastre tiende a ser cero o negativo. Aunque no es exactamente lo mismo, podrías asemejar la situación a la que se presenta a la hora de contratar un seguro.
Todos conocemos la tendencia natural frente a inversiones que no generan un retorno económico directo y relativamente inmediato: la de reducir costes.
Si aplicamos esta estrategia a la creación de un Plan de Recuperación de Desastres (DRP por sus siglas en inglés), la actitud tiende a ser la de “no hacer nada”. Es decir, a obviar la importancia de este importante recurso para la organización.
¿Puede tu organización permitirse ignorar los daños potenciales?
Desgraciadamente, sufrir algún desastre IT no es una opción, sino una cuestión de probabilidades.
Hace casi una década, Symantec ya concluía en sus investigaciones que el 50% de las evaluaciones completas de los planes de recuperación de desastres fracasaban.
Es más, el 44% de las organizaciones que carecían de un plan de recuperación de desastres experimentaban algún problema que condicionaba su continuidad. Y tras mis años de experiencia puedo verificar que eso es así y que no se trata de un mero dato. En WhiteBearSolutions tratamos de reorientar esta tendencia, ayudando a nuestros clientes a tener a punto este importante recurso en su organización. Como ejemplo, te animo a que tomes como referencia el caso de éxito de Santillana, donde nuestro equipo ha mejorado estos sistemas en la editorial.
¿Cuál es la realidad actual?
De acuerdo con un informe elaborado por el Aberdeen Group en el 2012, las empresas experimentan una media de 2,3 interrupciones del servicio a lo largo del año, y cada una de esas interrupciones se prolonga durante una hora.
Por otro lado, la consultora IDC constató en su informe “Business Continuity” de 2015 que el 80% de todas las organizaciones analizadas habían sufrido algún tipo de caída del servicio en el pasado.
Pero no es un tema únicamente de organizaciones con menos recursos. Según estadísticas publicadas por Dun & Bradstreet, el 59% de las empresas Fortune 500 experimentan una caída del servicio de 1,6 horas cada semana.
Todas estas estadísticas ya son bastante preocupantes de por sí; sin embargo, no representan el peor de los casos ni tampoco ponen de manifiesto las diversas causas que pueden generar un desastre de IT.
Para más información te recomiendo la siguiente lectura:
Las 6 principales causas de un Desastre de IT
Los motivos por los cuales las empresas siguen teniendo que hacer frente a este tipo de incidentes son muy variados pero, desde mi punto de vista, pueden simplificarse en 3 factores:

  • El progresivo incremento de las amenazas para la seguridad de la información.
  • La continua transformación tecnológica y la globalización de los mercados que crean nuevas vulnerabilidades difíciles de prever. Unos cambios que, además, suceden a velocidades que en ocasiones hacen que éstos sean difícilmente controlables por un departamento interno de IT y se haga imprescindible la ayuda externa especializada.
  • La desconexión que persiste entre los ejecutivos de las empresas y los departamentos de IT. Porque, frecuentemente, los consejos de administración aún carecen de la perspectiva necesaria para valorar los riesgos y amenazas para la seguridad de la información de su organización.

 
Ante este escenario, la cuestión es la siguiente:

¿Cuál ha de ser tu papel a la hora de prevenir estos desastres y qué dificultades vas a encontrar durante el proceso?

Si consideras que tu función es fundamentalmente técnica, entonces te recomiendo la siguiente lectura: Plan de Recuperación ante Desastres: ¿Qué tener en cuenta?
En este post, encontrarás directrices sencillas y eficaces para implementar sistemáticamente un DRP en tu organización.
¿Cuál es el problema?
El mayor problema de implantar un DRP no es el proceso en sí, ni el desafío técnico que representa; sino lograr que el consejo de administración apruebe el presupuesto para costearlo.
Entiendo que si tu cargo en tu organización está ligado a perfiles de responsabilidad IT o de seguridad de la información, tu foco de atención está puesto en comprender y resolver los continuos retos de transformación digital propios de la época en la que vivimos.
Sin embargo, también es cierto que en muchas ocasiones se necesita desempeñar un papel algo más versátil para conseguir concienciar a tus superiores acerca de las necesidades reales en términos de seguridad que tiene tu organización. Y así, conseguir los recursos económicos necesarios para llevar esa labor a buen fin.
¿Cuál es la solución?
A la hora de concienciar acerca de la importancia de este recurso para la organización, mi recomendación es que se haga un cálculo, lo más aproximado posible, del coste que representan los riesgos de un desastre de IT. De esta manera, es más probable que este componente de tu misión como experto tecnológico reciba la atención estratégica que merece.
Como decía al principio, la implantación de un DRP es siempre difícil de justificar por el hecho de que aparentemente no genera un retorno directo ni supone una reducción de los costes, sino todo lo contrario. Pero no es así. Muy a menudo, ciertas inversiones no logran comprenderse hasta después de haber sufrido una pérdida masiva de datos.

¿Cuál es el impacto económico de un desastre de IT?

De acuerdo con las estadísticas de la Administración pública norteamericana, el 93% de las compañías que sufren una pérdida de datos durante un periodo superior 10 días se declaran en quiebra menos de un año después del desastre. Y el 50% que quiebran, lo hacen inmediatamente.
El tiempo de recuperación de un desastre es, sin lugar a dudas, un factor crítico. En este sentido, te sugiero leer el post “8 Preguntas que un CIO debe hacerse antes de contratar un servicio de backup”.
Puedo ofrecerte más datos para que tengas una orientación:
Según el informe de IDC que citaba al principio, la pérdida económica que sufren las organizaciones se sitúa entre los $82.200 y los $256.000 por cada incidente. Dicho estudio, califica estas cifras de “conservadoras”.
El informe “Justifying The Business Case for Business Technology Resiliency” de la consultora Forrester indica que la típica caída de una website o el servidor de correo electrónico genera un coste de entre $11.142 y $47.662 por incidente.

Conclusiones finales

Como CEO de una compañía tecnológica fabricante de una solución de almacenamiento, backup y recuperación de desastres, WBSAirback (además de nuestra herramienta de federación y gestión de identidades WBSVision), puede parecer que carezco de la neutralidad necesaria para convencerte de que necesitas una solución fiable para tu DRP. Sin embargo, te animo a que seas tú mismo el que replantees esta cuestión para tu organización.
Así, voy a ayudarte a calcular el valor económico que un desastre de IT en tu propia empresa u organización. De esa manera, tendrás más recursos para concienciar a tu consejo de administración de la necesidad de tomar este tema con la importancia que se merece.
¿Cómo calcular el coste económico de un Desastre de IT?
 
Quizá también te interese:

Sobre el autor: Ignacio Gilart Iglesias

Ignacio Gilart Iglesias

Dejar un comentario

Sigue los pasos de un recorrido integral de cumplimiento