¿Qué es un plan de continuidad de negocio? Claves e importancia
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
¿Te has preguntado cuál sería el impacto a tu negocio si tus servicios o procesos dejan de funcionar?, ¿qué ocurriría en caso de perder clientes?, ¿cuál sería el impacto financiero por tener a tu plantilla laboral inactiva durante una contingencia?, ¿cómo te afectaría desde el punto de vista legal?
Estos y muchos otros escenarios se deben prever para tener una idea de la magnitud del daño que se puede sufrir y cuáles son los procedimientos a ejecutar al momento de una interrupción del servicio para minimizarlos. Para ello se creó el plan de continuidad de negocio. Conoce en qué consiste, cuáles son los pasos que se deben cumplir durante su creación y cuál es su relevancia.
¿Qué es un plan de continuidad de negocios?
Un plan de continuidad de negocios o BCP, por sus siglas en inglés (Business Continuity Planning), es un documento que describe los procesos y sistemas de la empresa, sus posibles fallas y cómo atenderlas.
Incluye planes de contingencia para los problemas que puedan presentarse en diferentes ámbitos de la compañía, bien sea por ciberataques, desastres naturales o cualquier error que ponga en riesgo su correcto funcionamiento.
Origen y desarrollo del plan de continuidad de negocio
La planificación de la continuidad del negocio surgió a principios de la década de los 70, teniendo como base el plan de recuperación de desastres. A partir de 1980, se ofrecían servicios enfocados en la recuperación de tecnología de la información (TI), pero ya en los años 90 las empresas pensaron que debían ir más allá y proteger todos los elementos del proceso.
El BCP es más completo que un plan de recuperación ante desastres (disaster recovery plan-DRP), debido a que describe cómo seguirán funcionando los procesos empresariales, la infraestructura de las tecnologías de la información, recursos humanos, los activos y los socios de negocio durante una interrupción no programada de un servicio, tanto a corto como a largo plazo.
Esta guía establece los procedimientos de gestión de riesgos para evitar la interrupción de los servicios y los procesos más esenciales. Suele incluir una lista de comprobación con el equipamiento, los suministros, las copias de seguridad de los datos y las ubicaciones de esas copias de seguridad. Además, debe tener información de contacto del personal de emergencia y esencial, así como de los proveedores de los sitios de respaldo.
Plan de continuidad de negocio y Norma ISO 22301
El plan de continuidad de negocio de una organización está basado en la Norma ISO 22301, un estándar internacional que reúne 109 requisitos que deben cumplirse para enfrentar algún incidente antes de que genere una crisis interna y externa.
Esta normativa fue creada por la Organización Internacional de Normalización (ISO) y está vigente desde mayo de 2012. Busca reducir la posibilidad de que se produzcan incidentes que ocasionen interrupciones en la empresa y garantizar su recuperación gracias a la implementación de un sistema de gestión de continuidad.
Entre los beneficios de la norma ISO 22301 se encuentran la coordinación entre los empleados, contar con las respuestas necesarias en caso de una crisis, la identificación de los riesgos y el mejoramiento de la reputación. A una empresa se le puede hacer una auditoría de conformidad con esta norma. Al obtener la certificación, la compañía le demuestra a los clientes, proveedores y empleados que está blindada en materia de gestión de continuidad.
Puntos clave para un plan de continuidad de negocios eficaz
Como se trata de una hoja de ruta para cualquier negocio, el BCP debería contener estos puntos clave para una mayor eficacia:
Estrategia
El plan aborda de qué manera el equipo de trabajo debe completar sus tareas durante el tiempo que dure la emergencia para garantizar la continuidad de las operaciones empresariales.
Si una compañía no tiene un Chief Information & Security Officer (CISO) o director de ciberseguridad, esto puede afectar la visión estratégica de una empresa porque se desconoce el impacto real que ocasiona un incidente.
Con el complemento de Apolo: CISO as a Service de Delta Protect, la empresa tendrá a su disposición a un director y un equipo de expertos que se enfocarán en establecer estrategias de recuperación, trabajará para robustecer la seguridad, ayudará a conservar y mejorar la marca, generará confianza en los clientes y empleados y mitigará el riesgo financiero.
Organización
Se deben definir las responsabilidades que asumirán los empleados en caso de presentarse una emergencia y establecer cómo será la comunicación dentro de la estructura organizacional.
Planes y datos
Establece cuál es el software necesario para habilitar las operaciones de una empresa y el método que se debe ejecutar para aumentar la disponibilidad de que se implemente.
Cataloga los datos clave sobre los bienes que se utilizan en la realización de funciones críticas, los proveedores, el personal, los sistemas de TI, los clientes, los números de serie, las garantías, los acuerdos de licencia, los contactos, entre otros. Además, se deben documentar los acuerdos sobre mudar las operaciones a ubicaciones o instalaciones de TI temporales, si aplica el caso.
Determina a quién llamar según el área y en qué orden se hará el contacto con los involucrados. En ocasiones puede ser necesario interactuar con los medios, así que se debe tener bien definido quién puede ser el vocero, según el caso, aunque lo más recomendable es quedarse con una estrategia donde solo el CEO sea quien informe.
Procesos
Menciona cuál es el proceso empresarial indispensable para mantener a la compañía en funcionamiento. Además, especifica la tecnología de información utilizada para garantizar que no haya algún problema durante las operaciones.
Tecnología
Debe contemplar las redes, los sistemas y las tecnologías esenciales para garantizar que las operaciones y la productividad no sean interrumpidas y se puedan realizar copias de seguridad de los datos y las aplicaciones.
Riesgos y vulnerabilidades
Las situaciones de emergencia pueden afectar a la empresa, a sus proveedores y a los proveedores de terceros. Por eso es importante que el plan de continuidad incluya esos riesgos y vulnerabilidades que se pueden presentar y cómo enfrentarlos. El BCP de tus proveedores también te puede ayudar a completar algunas variables que debes incluir.
Integración en TI
Considera la información de la empresa según su prioridad e incluye estrategias para gestionar las interrupciones de TI que se presenten en redes, computadoras personales, servidores y dispositivos móviles. Además, aborda cómo restablecer la productividad y el software empresarial para satisfacer las necesidades más importantes.
Gestión
La gestión de la continuidad del negocio, también conocida como BCM por sus siglas en inglés, es una parte vital del proceso de seguridad porque no solamente se necesita lograr la capacidad de continuar con la operatividad, sino también de mantenerla.
A partir del proceso en el que se identifican las amenazas potenciales, los puntos débiles y los riesgos operacionales que puede sufrir una compañía, se traza un plan de ruta que permita minimizar el impacto de lo que ocurra. El objetivo es garantizar una mejora continua de todos los procesos.
Importancia de un plan de continuidad de negocio
Cuando de escalar un negocio se trata, anticiparse a los riesgos es esencial. Esto se logra gracias a un BCP que ofrece una serie de ventajas:
- Permite tener un conocimiento profundo de los recursos, procesos, riesgos y vulnerabilidades de la empresa.
- Facilita la toma de decisiones ágiles y asertivas en momentos críticos.
- Ayuda a minimizar las pérdidas del negocio ante una contingencia a corto, mediano y largo plazo.
- Establece las prioridades en la protección de los activos para que se recuperen primero los más importantes y, de manera progresiva, se atiendan los demás componentes que tienen un valor para la empresa.
- Protege la reputación de una marca y proporciona una importante ventaja competitiva frente a la competencia debido a su rápida recuperación.
- Previene impactos de negocio en materia comercial, regulatoria, financiera u operativa.
- Ayuda a minimizar el tiempo de inactividad por pérdida de datos, fallas tecnológicas, crisis corporativas u otros eventos.
- Ante un incidente grave de seguridad, permite mantener el nivel de servicio en ciertos límites predefinidos, mientras se intenta restablecer actividades.
Rendimiento y recuperación de la empresa
Esta guía incluye dos métricas esenciales para conocer el rendimiento de la empresa en términos de recuperación: el RTO (Recovery Time Objective) y RPO (Recovery Point Objective).
El RTO se refiere al tiempo de recuperación de los sistemas que un negocio necesita debido a que un incidente produjo una inactividad. Para definir ese periodo se debe conocer el tiempo de restauración que ofrece el proveedor de nube que tenga la empresa y cuánto demora la restauración del servicio caído.
En el caso del RPO, se establece cuál es el tiempo máximo aceptable que debe transcurrir entre el momento en el que se realizó la última copia de seguridad de los datos y un evento inesperado que afectó la operatividad de la empresa.
Todos los elementos que incluye un plan de continuidad del negocio lo convierte en un documento clave para cualquier proyecto de seguridad de la información.
Pasos para definir un plan de continuidad de negocios
Existen cuatro pasos indispensables que se deben seguir al momento de definir un plan de continuidad del negocio:
Análisis de la empresa
Un BCP eficaz necesitaría en primer lugar un análisis de impacto empresarial o Business Impact Analysis (BIA) que permita identificar y recopilar toda la información de la organización, definir cuáles son los procesos de negocios críticos y de qué manera se le dará soporte según las necesidades que se presenten.
Esas funciones críticas de negocio que contempla el análisis del impacto se deben clasificar de acuerdo con su criticidad. Aquí se incluyen los casos de desastres y emergencias, la pérdida o el retraso de los ingresos, el aumento de los gastos, las sanciones contractuales, entre otros.
Gracias al BIA se analizan los procesos de negocio para conocer el impacto que se generará en caso de que haya un incidente que interrumpa los procesos, para que luego la continuidad de negocio se centre en aquellos en los que la disponibilidad es vital.
Desarrollo del plan de continuidad de negocio y diseño
A partir de la identificación de los procesos críticos en el BIA y la evaluación de riesgos para el negocio, se establecen las soluciones apropiadas para garantizar la continuidad de las operaciones y cumplir con los requisitos detallados durante la etapa de análisis.
Ese plan de respuesta que se va a desarrollar para cada elemento identificado como crítico abarca tres aspectos:
- La recuperación de los entornos o sistemas de trabajo: aquí se pueden incluir los correos electrónicos, el sistema operativo y otros recursos similares.
- Procedimientos técnicos: se refiere a las acciones que se realizan para gestionar y recuperar cada área.
- Plan de crisis: contiene las decisiones que se deben tomar en momentos de crisis.
Implementación
En esta fase se ejecutan las soluciones establecidas en las etapas de análisis y diseño durante la creación de un plan de continuidad. El objetivo es detectar los puntos débiles o erróneos para mejorar la guía.
Pruebas, mantenimiento y revisión
En esta etapa es muy importante contar con los recursos tecnológicos necesarios para crear planes de prueba, mantenimiento y revisión. A partir de los resultados obtenidos, se definirá qué prácticas fueron correctas y cuáles se deben mejorar por el bien de la compañía.
Esa validación de la efectividad del plan de continuidad permite asegurar que las estrategias de continuidad se corresponden con el tamaño, la complejidad y el tipo de empresa, y que haya una actualización constante y oportuna.
Las pruebas se realizan mediante una simulación de las situaciones reales de incidencias que afecten los servicios. A partir del resultado se realiza un informe detallado sobre la aplicación del BCP que sirva de guía base para establecer medidas correctoras y futuras actualizaciones.
No debes preocuparte si sientes que no puedes desarrollar alguno de estos pasos para definir un plan de continuidad, ni la complejidad de la operación y la tecnología de tu empresa. El equipo de Delta Protect está conformado por expertos en diferentes áreas para orientarte y entender las necesidades del negocio y detectar los riesgos más críticos.
En Delta Protect simplificamos la ciberseguridad y cumplimiento de su empresa: agenda una demo de Apolo con nuestros expertos para asesorarte.