¿Qué es un plan de continuidad del negocio?

Un Plan de Continuidad del Negocio (BCP, por sus siglas en inglés) es un documento patrocinado por el ejecutivo y aprobado por el ejecutivo que proporciona una hoja de ruta sobre cómo una organización reiniciará las operaciones en caso de un desastre imprevisto, natural o provocado por el hombre, como un huracán, un incendio o una filtración de datos.

Si ocurre un desastre, su negocio puede fracasar sin un Plan de Continuidad del Negocio.

La planificación de la continuidad del negocio puede hacer o deshacer su ventaja competitiva.

Cada organización, grande o pequeña, debe tener un Plan de Continuidad del Negocio (BCP, por sus siglas en inglés) probado. En caso de desastre, la falta de un plan causa caos y puede causar lesiones y muerte a los empleados, daños a la reputación de la empresa, multas por incumplimiento, empleados improductivos, pérdida de ingresos y pérdidas financieras.

El 75% de las empresas sin planes de continuidad del negocio fracasan dentro de los tres años posteriores a un desastre. Según un informe publicado por la Agencia Federal para el Manejo de Emergencias (FEMA, por sus siglas en inglés), el 40% de las pequeñas empresas no vuelven a abrir después de un desastre y otro 25% fracasa en el plazo de un año.

Como propietario o ejecutivo de un negocio, debe comprender cuánto le puede costar a su negocio una emergencia no planificada. Por ejemplo, la Corporación Internacional de Datos (IDC, por sus siglas en inglés) informa estos costes típicos para una empresa de Fortune 1000:

·        El coste total medio del tiempo de inactividad no planificado de las aplicaciones es de entre $1,25 millardos y $2,5 millardos al año

·        El coste medio por hora de un fallo de infraestructura es de $100.000 por hora.

·        El coste medio de un fallo crítico de la aplicación por hora es de $500.000 a $1 millón

Para las pequeñas y medianas empresas (SMB, por sus siglas en inglés), el coste estimado del tiempo de inactividad oscila entre varios cientos y muchos miles de dólares por minuto. Cuánto podría costarle a su empresa depende de la naturaleza y el tamaño de su negocio.

Debe tener en cuenta todo lo siguiente para calcular cuánto le costará si su negocio cesa sus operaciones:

·        Ingresos perdidos

·        Disminución de la productividad de los empleados

·        Empleados estresados, especialmente en la fuerza laboral de TI

·        Clientes insatisfechos

·        Daño de marca

·        Posibles sanciones legales por incumplimiento normativo

·        Niveles de servicio en peligro (tanto internos como externos)

Los planes de continuidad del negocio tienen como objetivo identificar, contrarrestar y reducir el riesgo de amenazas potenciales al tiempo que garantizan la continuidad de sus procesos comerciales.

Un plan integral de continuidad del negocio (BCP, por sus siglas en inglés) consta de tres elementos principales. Explorémoslos a continuación.

Los planes de gestión de emergencias proporcionan un conjunto integral de pautas y protocolos para minimizar el impacto negativo en la salud y la seguridad del personal y mitigar el efecto de interrupción general de una emergencia.

Aquí, es imperativo capacitar a toda su fuerza laboral para permitir que su personal responda de manera rápida y eficiente a la amenaza.

Su plan de respuesta de emergencia debe incluir lo siguiente:

·        Objetivos específicos para los servicios de emergencia

·        Información de contacto de emergencia

·        Diseño de rutas de evacuación y zonas de parada

·        Evaluación y mejora de las comunicaciones de respuesta a emergencias

Una vez que se diseña el plan, es vital revisarlo y probarlo para garantizar que todas las funciones críticas marchen según lo previsto y produzcan resultados si ocurre un desastre.

Cuando se discuten los planes de continuidad del negocio, "gestión de crisis" y "gestión de emergencias" no son intercambiables. La gestión de crisis es el conector entre su respuesta de emergencia y la etapa de recuperación operativa.

Un plan de continuidad del negocio eficaz se basa en un proceso de planificación de gestión de crisis a fondo. Cada plan de CM debe:

·        Verificar los recursos disponibles para apoyar el proceso de toma de decisiones y las acciones del personal responsable

·        Identificar funciones críticas para proporcionar instrucciones para gestionar y recuperarse de la crisis

·        Diseñar y monitorear un panel de control de estado para realizar un seguimiento de las actividades clave del personal y coordinar la remediación de incidentes

·        Iniciar la planificación de contingencia para delinear los protocolos de comunicación requeridos

Los desastres ocurren sin previo aviso. Pueden poner a prueba incluso a las personas más experimentadas, por lo que es crucial capacitar a los empleados, identificar brechas en el plan anticrisis y preparar a fondo a los equipos responsables para garantizar un plan de continuidad comercial exitoso.

El tercer pilar para la gestión de continuidad de operaciones es un plan de recuperación operativa. Dicho plan garantiza que el personal y los activos comerciales estén protegidos y que las funciones esenciales se restauren después de una interrupción comercial, emergencia, crisis o ataques cibernéticos dedicados.

Los planes de recuperación operativa deben:

·        Adquirir evaluaciones de riesgos para áreas comerciales clave

·        Calcular un objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) realista

·        Asignar controles y desarrollar estrategias de recuperación para garantizar que el equipo de continuidad del negocio pueda administrar los riesgos de seguridad en su sitio principal, espacio de oficina remoto, entornos de centros de datos y sitios alternativos (o sitios)

·        Adquirir análisis de impacto comercial para determinar el efecto de amenazas significativas a la productividad de la oficina, la logística, la cadena de suministro y los flujos de ingresos

Su plantilla para el plan de continuidad del negocio puede parecer perfecta en papel. Sin embargo, las amenazas y los problemas de seguridad a menudo se intensifican después de una interrupción del negocio. Es fundamental identificar todas las vulnerabilidades potenciales para su programa de continuidad del negocio, causadas por desastres naturales, fallas tecnológicas o errores humanos, y prepararse para ellas en consecuencia.

Inicialmente, se identifica un Gerente de Continuidad de Negocio (BCM, por sus siglas en inglés) para que ensamble el equipo y lidere el desarrollo del plan. Este individuo debe tener apoyo en los niveles más altos de una organización para tener éxito. Esto significa que el programa debe contar con un patrocinador ejecutivo y la participación de la alta gerencia a través de un Comité Directivo.

La experiencia demuestra que los programas del BCP con patrocinio ejecutivo tienen más probabilidades de cumplir con sus objetivos de tiempo de recuperación (RTO, por sus siglas en inglés) que aquellos sin patrocinio ejecutivo.

El BCM selecciona a personas de toda la organización para que se unan al equipo. Las selecciones se basan en un análisis de qué tipos de eventos imprevistos pueden ocurrir, ya sean desastres naturales o eventos relacionados con el clima, incendios, amenazas a los empleados o los perímetros de las instalaciones, sabotajes, huelgas de empleados, eventos de TI, fallas de equipos, ataques de software malicioso, violaciones de datos, problemas de seguridad de los empleados, interrupciones de la cadena de suministro, cortes de energía, daños a la propiedad, robo de propiedad, problemas de seguridad de productos, disturbios sociales o ataques terroristas, escándalos relacionados con la reputación de la empresa o la administración, muerte o salida inesperada de un alto ejecutivo.

1.     Patrocinador ejecutivo

2.     Gerente de continuidad del negocio

3.     Oficial de seguridad

4.     Director de información

5.     Proveedores y socios clave

6.     Líderes específicos del departamento, que incluyen: Gestión de riesgos financieros/cumplimiento, servicio al cliente, gestión de instalaciones, relaciones públicas y comunicaciones de los empleados, Recursos Humanos, fabricación/distribución, tecnología de la información, operaciones, logística

Si bien la mayoría de las personas perciben la continuidad del negocio y la planificación de recuperación ante desastres como intercambiables, son planes diferentes.

Un plan de continuidad del negocio proporciona la dirección para garantizar que la organización mantenga o reanude el negocio después de un desastre, estableciendo objetivos de punto de recuperación (RPO, por sus siglas en inglés) y RTO para reanudar las operaciones de la empresa. Planifica los procesos y procedimientos para activar la evacuación de emergencia y tiene como objetivo identificar roles, responsabilidades y contactos.

Garantiza que los empleados tengan un lugar de trabajo seguro y temporal (si es necesario) con acceso a los sistemas, aplicaciones y teléfonos requeridos para hacer su trabajo. Garantiza que los procesos comerciales clave estén en funcionamiento, que se reanuden las comunicaciones internas y externas, que el sitio web esté en línea y que otras operaciones cruciales continúen ininterrumpidamente.

Un plan de recuperación ante desastres de TI es un subconjunto del plan de continuidad del negocio. La recuperación ante desastres está destinada a recuperar servicios tecnológicos como sistemas, redes y datos a los "escritorios de los empleados". El plan de continuidad del negocio luego se encarga de que los empleados vuelvan a trabajar en sus "escritorios" con todas las demás herramientas que necesitan para reanudar las operaciones comerciales normales.

Si necesita ayuda para desarrollar un plan de recuperación ante desastres de TI, descargue "Cómo presupuestar eficazmente la recuperación ante desastres de TI". Este documento analiza la preparación para riesgos de TI y proporciona un enfoque presupuestario sencillo para estimar el costo de la recuperación ante desastres efectiva y la continuidad de TI para su infraestructura única.

El proceso de planificación de la continuidad del negocio puede parecer un desafío para muchas empresas. Sin embargo, su negocio requiere una estrategia integral para sobrevivir a un desastre o un ataque cibernético.

A continuación, se presentan varios ingredientes comunes de casi todos los planes de gestión de continuidad del negocio.

Es esencial saber cómo se comunicará con el personal, los clientes, los socios comerciales y los proveedores si las funciones comerciales cesan. En este caso, lo mejor es garantizar una línea de comunicación secundaria para comunicar mensajes críticos sin obstáculos.

Su plan requiere puntos de contacto claros para todos los empleados en un evento de desastre. También debe designar a una persona (o equipo) responsable para supervisar el BCP y asegurarse de que todos los empleados sepan cómo llegar a ellos.

Comprender las amenazas potenciales que pueden provocar tiempo de inactividad y pérdida de ingresos es crucial. Como hemos discutido, hay varias razones para una interrupción. Debe categorizarlas y asignar niveles de riesgo a cada una.

Responda las siguientes preguntas para facilitar el proceso:

·        ¿Qué tan probable es que ocurra la amenaza?

·        ¿Qué impacto tendría esa amenaza en las operaciones comerciales?

Además, considere cómo la interrupción de los procesos cotidianos afectará los costos de software y copias de seguridad de datos de la empresa, los sistemas informáticos en el sitio, la eficiencia de la función comercial y la satisfacción del cliente.

Calcular todo eso ayudará a calcular la cantidad de ingresos que se perderán debido al evento de desastre.

Su BCP depende del contacto ininterrumpido con comerciantes, proveedores, propietarios y proveedores de TI y sitios de copia de seguridad. Saber que puede ponerse en contacto con todos ellos aliviará parte del estrés asociado con el proceso de recuperación ante desastres.

Su estrategia de recuperación requiere conocer todas las operaciones críticas para el negocio y priorizar su recuperación. Poner en marcha sus sistemas debería ser la primera etapa de sus planes de recuperación ante desastres. Se recomienda implementarlas en fases. Esto reducirá el riesgo de error humano, falla del sistema o falta de comunicación.

Un BCP sólido requiere un plan dedicado para administrar las funciones comerciales después de un desastre natural (inundaciones, incendios, huracanes, tormentas, etc.)

Es esencial calcular la probabilidad de que un desastre natural afecte los procesos de su empresa. Luego, debe diseñar un plan para delinear qué hacer en escenarios específicos para proteger a sus empleados, minimizar el tiempo de inactividad y garantizar flujos de ingresos constantes.

Se pueden cometer varios errores al crear un plan de continuidad del negocio. Estos son algunos:

Supongamos que es el dueño de una pequeña o mediana empresa. Su organización desarrolló un plan de continuidad del negocio el año pasado. Hoy, usted pidió una copia del plan para revisarlo. Al leerlo, se sorprendió al ver que el objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) para correos electrónicos ejecutivos es de 24 horas. No recuerda que alguien del equipo le haya preguntado sobre eso. Usted y sus gerentes pensaron que el sistema de correo electrónico estaría disponible dentro de las cuatro horas posteriores a un desastre. Se preguntó por qué usted y otros gerentes no fueron consultados y si hay otras partes del negocio que tienen requisitos que no se abordan en el alcance del plan de continuidad del negocio.

En primer lugar, el equipo directivo debe participar en cualquier iniciativa de planificación de la continuidad del negocio para que sea eficaz. Además, el equipo de BCM debe incluir a tomadores de decisiones seleccionados de otros departamentos de la empresa, así como a asociados financieros, partes interesadas clave, representantes de servicio al cliente, proveedores clave y personal de TI. Estas personas deben participar activamente para garantizar que los planes y las actividades de continuidad del negocio estén alineados con los objetivos de la organización. Deben ser capaces de tomar decisiones con respecto a las estrategias de continuidad del negocio para su departamento y el negocio en su conjunto.

Cada miembro del equipo debe tomarse el tiempo para comprender las operaciones de la organización, incluidos sus productos y servicios y cómo se ofrecen. Con este conocimiento, el equipo puede ampliar mejor el programa para garantizar que la organización pueda recuperarse de un desastre.

Le pidió a su equipo una copia del informe sobre la prueba del plan de continuidad del negocio. Descubre que el plan nunca ha sido probado.

Un plan no probado es casi tan malo como no tener ningún plan en absoluto. Sin pruebas continuas, no hay forma de que la estrategia garantice que su empresa se recupere de un desastre.

En un artículo reciente, Christopher Britton, Director de Operaciones de RockDove Solutions, sugiere que cada plan se ejerza de la siguiente manera:

·        Se debe realizar una revisión de la lista de verificación (una verificación de alto nivel de cada elemento del plan) dos veces al año.

·        Un simulacro de emergencia, que requiere toda la participación de las partes interesadas, debe realizarse una vez al año. Esto refuerza el papel de cada participante en caso de desastre y asegura que el plan funcione.

·        Se debe realizar una revisión del simulacro cada dos años. En esta revisión, el personal clave al que se le asignan roles y responsabilidades de gestión de emergencias se reúne para discutir situaciones de emergencia simuladas.

·        Se debe realizar una revisión exhaustiva cada dos años o cuando haya cambios significativos en la organización, como un cambio importante en la infraestructura de TI, una fusión u otro cambio importante en las operaciones comerciales. Este tipo de revisión permite a las partes interesadas revisar el plan actual para identificar nuevos riesgos y actualizar el plan en consecuencia.

·        Se debe realizar una prueba de recuperación simulada cada dos o tres años. Con este tipo de revisión, el plan se prueba completamente para identificar cualquier brecha, ayudar a los empleados a desempeñar sus funciones y garantizar que la organización pueda recuperarse de acuerdo con los RTO y RPO planificados.

Desde que su equipo desarrolló la versión inicial del plan de continuidad del negocio, se da cuenta de que ha virtualizado parte de su entorno de TI y pregunta si el plan incluye estos cambios en la infraestructura de TI. Se le informa que el BCP no ha sido actualizado.

Un plan de continuidad del negocio debe actualizarse cada vez que la organización implementa un cambio en las operaciones que introduce nuevas categorías de riesgos. Las partes interesadas deben reunirse regularmente para discutir los cambios en el negocio que pueden afectar el plan.

Para obtener más información sobre este tema, consulte un artículo de Acronis titulado "¿Está seguro de que su Plan de Continuidad del Negocio sigue funcionando?"

Debe actualizar continuamente su plan para abordar cualquier nuevo riesgo y amenaza cibernética, ya que una nueva amenaza puede ser tan destructiva como los otros desastres que su plan ya incluye.

Durante el primer semestre de 2021, cuatro de cada cinco organizaciones experimentaron una brecha de ciberseguridad que se originó por una vulnerabilidad en los ecosistemas de sus proveedores externos. Si bien puede creer que su pequeña o mediana empresa es "demasiado pequeña para ser atacada", corre el riesgo de sufrir cada vez más ataques automatizados y de cadena de suministro dirigidos a sus proveedores de servicios de TI.

Muchas pequeñas y medianas empresas no toman las medidas adecuadas para salvaguardar y proteger sus sistemas y datos. Esto solo hace que las pequeñas y medianas empresas sean un objetivo principal para un ataque.

Los planes de continuidad del negocio y recuperación ante desastres deben centrarse en la ciberseguridad para que la empresa pueda estar segura de que sobrevive a un ataque y pueda hacerlo rápidamente.

Si no es un ejecutivo de la compañía, su primera meta debería ser conseguir el patrocinio ejecutivo para un BCP. Para empezar, reenvíe este artículo a todos sus ejecutivos para iniciar la conversación. Una vez que haya patrocinio ejecutivo, considere contratar a un consultor para que le ayude a desarrollar su plan, si su presupuesto lo permite. Alternativamente, busque en línea una plantilla de plan descargable que pueda ayudar a guiarlo a través del proceso (sin embargo, tenga en cuenta que una plantilla general no es suficiente para cubrir todos los aspectos únicos de la empresa; el equipo responsable debe adaptarla a las necesidades y los requisitos específicos de su empresa)

Considere y priorice el tipo de desastres que afectan más comúnmente su industria y formule su plan para abordarlos primero. Lo que es más importante, pruebe regularmente el plan para asegurarse de que tiene procesos de trabajo para mitigar posibles desastres.

Recuerde que, así como su negocio evoluciona continuamente, también debe hacerlo su plan. Para obtener más información sobre por qué su plan debe actualizarse constantemente, revise "¿Está seguro de que su Plan de Continuidad del Negocio sigue funcionando?".

Un plan de continuidad del negocio es vital para mantener su negocio en marcha en caso de desastre.

Ninguna empresa es inmune a desastres naturales como incendios o catástrofes climáticas extremas. Tal vez lo más importante es que los desastres provocados por el hombre (ransomware, malware y otros ataques de hackers contra datos empresariales) están aumentando a un ritmo alarmante.

Todas las empresas deben tomar medidas proactivas para protegerse contra posibles desastres. Lo más importante es que cada empresa debe prepararse para reanudar las operaciones comerciales si (o cuando) ocurre un desastre. Sería mejor tener un BCP probado y actualizado, que incluya una estrategia de copia de seguridad práctica y bien documentada.

Tan importante como un plan de continuidad del negocio y de recuperación ante desastres, cada empresa debe tener la solución de ciberseguridad adecuada para garantizar las operaciones comerciales, incluso después del fracaso.

Acronis Cyber Protect proporciona a las pequeñas y medianas empresas y a las organizaciones más grandes lo siguiente:

·        Gestión de protección de puntos finales y seguridad cibernética, evaluación de vulnerabilidades y gestión de parches, escritorio remoto y estado de la unidad

·        Protección contra malware basada en la inteligencia de máquinas (MI, por sus siglas en inglés) de última generación y de pila completa, incluido el filtrado de URL y el escaneo automatizado de copias de seguridad

·        Recuperación rápida y confiable de sus aplicaciones, sistemas y datos en cualquier dispositivo, ante cualquier incidente

Acronis Cyber Protect utiliza un enfoque revolucionario para la protección cibernética. La integración de la protección de datos con la ciberseguridad elimina la complejidad, ofrece una mejor protección contra las amenazas actuales y maximiza la eficiencia al ahorrar tiempo y dinero.

Acronis Cyber Protect Cloud empodera a los MSP con copias de seguridad integradas, recuperación ante desastres, antimalware de última generación, seguridad de correo electrónico, gestión de protección de puntos finales, evaluación de vulnerabilidades y funciones de gestión de parches para detectar y eliminar amenazas antes de que dañen los entornos de sus clientes.

Con Acronis, los MSP pueden mitigar/eliminar mejor los riesgos para los clientes al tiempo que reducen los costes. Es la única solución que integra de forma nativa la ciberseguridad, la protección de datos y la gestión de la protección de puntos finales para salvaguardar los puntos finales, los sistemas y los datos de sus clientes.

También proporciona:

·        La mejor copia de seguridad y recuperación de la industria con copia de seguridad y recuperación de imagen completa y a nivel de archivo para salvaguardar los datos en más de 20 cargas de trabajo, con RPO y RTO cercanos a cero.

·        Protección cibernética esencial sin costo adicional con un motor de detección de comportamiento de última generación que detiene el malware, el ransomware y los ataques de día cero en los puntos finales y sistemas de su cliente.

·        La gestión de la protección está diseñada para que los MSP permitan investigaciones exhaustivas posteriores al incidente y una remediación adecuada.

Los MSP pueden ampliar sus servicios aún más con paquetes de protección avanzados y capacidades únicas de protección cibernética, lo que les permite controlar sus costos pagando solo por las funcionalidades que sus clientes necesitan. Los paquetes avanzados incluyen:

Seguridad avanzada

·        Antimalware de última generación, que utiliza tecnologías basadas en inteligencia de máquinas (MI, por sus siglas en inglés) para prevenir malware emergente/nuevo, junto con un motor basado en firmas para la detección rápida de malware conocido

·        Monitoreo de amenazas globales y alertas inteligentes y procesables de Centros de Operaciones de Acronis Cyber Protection (CPOC, por sus siglas en inglés) para que pueda mantenerse bien informado sobre malware, vulnerabilidades, desastres naturales y otros eventos globales que pueden afectar la protección de datos de sus clientes, para que pueda tomar las medidas recomendadas para protegerlos. Por ejemplo, esto puede resultar en copias de seguridad más frecuentes, escaneos más profundos o instalaciones de parches de concreto

·        La copia de seguridad forense le permite recopilar datos de pruebas digitales e incluirlos en copias de seguridad a nivel de disco almacenadas en un lugar seguro para protegerlas de las amenazas cibernéticas y utilizarlas para futuras investigaciones

Gestión avanzada

·        Gestión de parches para Microsoft y más de 300 aplicaciones de terceros, lo que le permite programar fácilmente o implementar parches manualmente para mantener seguros los datos de sus clientes

·        Estado de la unidad (disco duro) mediante tecnología basada en MI para predecir problemas de disco y alertarle para que tome medidas de precaución, proteja los datos de sus clientes y mejore el tiempo de actividad

·        Recopilación de inventario de software con escaneos automáticos o bajo demanda para brindar una visibilidad profunda del inventario de software de sus clientes

·        Colección de inventario de hardware para que sepa cuántos dispositivos necesita proteger su cliente

·        Parches a prueba de fallas mediante la generación de una copia de seguridad de la imagen de los sistemas pertenecientes a sus clientes para permitir una fácil recuperación en caso de que un parche haga que el sistema de su cliente sea inestable

Copia de seguridad avanzada

·        Protección para más de 20 tipos de cargas de trabajo desde una sola consola, incluidos Microsoft Exchange, el Servidor de Microsoft SQL, clústeres de aplicaciones reales del Sistema de Gestión de Base de Datos (DBMS, por sus siglas en inglés) Oracle y SAP HAN

·        Un mapa de protección de datos que rastrea la distribución de datos en las máquinas de sus clientes monitorea el estado de protección de los archivos y utiliza los datos recopilados como base para los informes de cumplimiento

·        Protección de datos continua que garantiza que no perderá los cambios de datos de sus clientes que se realizan entre las copias de seguridad programadas

La recuperación ante desastres avanzada proporciona una orquestación de recuperación ante desastres utilizando runbooks, un conjunto de instrucciones que definen cómo hacer girar el entorno de producción de su cliente en la nube y proporcionan una recuperación rápida y confiable de sus aplicaciones, sistemas y datos en cualquier dispositivo, ante cualquier incidente.

La seguridad avanzada del correo electrónico bloquea las amenazas de correo electrónico, incluidos el spam, el phishing, el riesgo de correo electrónico empresarial (BEC, por sus siglas en inglés), el malware, las amenazas persistentes avanzadas (APT, por sus siglas en inglés) y las vulnerabilidades de día cero antes de que lleguen a los buzones de correo de Microsoft 365, Google Workspace, Open-Xchange o en las instalaciones de los usuarios finales.