¿Qué es un plan de continuidad empresarial?

Un plan de continuidad empresarial (BCP) es un documento patrocinado y aprobado por el poder ejecutivo que ofrece una hoja de ruta para que una organización reinicie sus operaciones ante la posibilidad de un desastre natural o error humano imprevisto, como un huracán, incendio o filtración de datos.

Ante un desastre, su empresa podría enfrentar dificultades si carece de un plan de continuidad empresarial.

La planificación de continuidad empresarial puede crear o descontinuar su ventaja competitiva.

Cada organización, grande o pequeña, debería contar con un plan de continuidad empresarial (BCP) probado. Ante un eventual desastre, la falta de un plan genera caos y puede derivar en lesiones o fallecimiento de los empleados, daños a la reputación de la empresa, multas por no cumplimiento, empleados poco productivos, pérdida de ingresos y pérdidas financieras.

75% de las compañías sin planes de continuidad empresarial fracasan a los tres años de ocurrido el desastre. De acuerdo con un informe publicado por la Agencia Federal para el Manejo de Emergencias (FEMA), 40% de las pequeñas empresas no vuelven a abrir sus puertas luego de un desastre y otro 25% cierra sus operaciones al cabo de un año.

Como propietario o ejecutivo de una empresa, usted debe comprender cuál es el costo de una emergencia imprevista para su empresa. Por ejemplo, la International Data Corporation (IDC) informa estos costos habituales para una compañía dentro del Fortune 1000:

• El costo total promedio del tiempo de inactividad no planificado de una aplicación es de $1.25 mil millones a $2.5 mil millones al año
• El costo promedio por hora de una falla en la infraestructura es de $100,000 por hora.
• El costo promedio de una falla de aplicación crítica por hora es de $500,000 a $1 millón

Para pequeñas y medianas empresas (PYMES), el costo estimado de inactividad varía de varios cientos a muchos miles de dólares por minuto. Cuánto le costaría a su compañía depende de la naturaleza y el tamaño de su negocio.

Usted debe factorizar todo lo siguiente para calcular cuál será el costo en caso de que su empresa cese sus funciones:

• Ingresos perdidos
• Reducción de la productividad laboral
• Empleados estresados, en especial el equipo informático
• Clientes disconformes
• Daño a la marca
• Posibles sanciones legales por incumplimiento normativo
• Niveles de servicio comprometidos (internos y externos)

Los planes de continuidad empresarial tienen por objetivo identificar, contrarrestar y reducir el riesgo de las posibles amenazas al tiempo que garantizan la continuidad de sus procesos comerciales.

Un plan de continuidad empresarial (BCP) exhaustivo consta de tres elementos primordiales. Es momento de explorarlos a continuación.

Los planes de gestión de emergencias ofrecen un conjunto exhaustivo de directrices y protocolos para reducir el impacto negativo a la salud y seguridad del personal y mitigan el efecto disruptivo general de una emergencia.

Aquí, resulta imperativo capacitar a todo su equipo de trabajo para que su personal pueda responder de manera rápida y eficiente a la amenaza.

Su plan de respuesta a emergencias debería incluir lo siguiente:

• Metas específicas para personal de respuesta a emergencias
• Información de contacto de emergencia
• Rutas de evacuación y diseño de áreas de preparación
• Evaluación y mejora de las comunicaciones para respuesta de emergencia

Una vez diseñado el plan, es fundamental revisar y probarlo para garantizar que todas las funciones críticas operen como está previsto y que obtenga los debidos resultados ante la ocurrencia de un desastre.

Al discutir los planes de continuidad empresarial, los términos “manejo de crisis” y “gestión de emergencia” no son intercambiables. El manejo de crisis es el conector entre su respuesta de emergencia y la etapa de recuperación operativa.

Un plan de continuidad empresarial eficaz depende de un proceso de planificación de manejo de crisis meticuloso. Cada plan de manejo de crisis debería:

• Verificar los recursos disponibles para apoyar el proceso de toma de decisiones y acciones del personal responsable.

• Identificar las funciones esenciales para entregar instrucciones de gestión y recuperación ante una crisis
• Diseñar y monitorear un panel de control del estatus para dar seguimiento a las actividades claves del personal y coordinar la subsanación del incidente
• Iniciar planificación de contingencia para destacar los protocolos de comunicación requeridos

Los desastres llegan sin previo aviso. Estos pueden poner a prueba incluso a los más experimentados, por lo que resulta fundamental entrenar a los empleados, identificar brechas en el plan anti-crisis y preparar meticulosamente los equipos responsables para garantizar la implementación correcta del plan de continuidad empresarial.

El tercer pilar en la gestión de la continuidad empresarial radica en tener un plan de recuperación operativa. Dicho plan garantiza que el personal y los activos comerciales cuenten con la debida protección y que las funciones principales se restauren luego de una interrupción comercial, emergencia, crisis o ciberataque especializado.

Los planes de recuperación operativa deberían:

• Realizar evaluaciones de riesgo para las áreas comerciales clave
• Calcular un objetivo de tiempo de recuperación (RTO) realista.
• Asignar controles y desarrollar estrategias de recuperación para garantizar que el equipo de continuidad empresarial puede gestionar los riesgos de seguridad para su instalación principal, espacio de oficina remoto, entornos de centro de datos y sitios alternativos.
• Obtener un análisis de impacto empresarial para determinar el efecto que tienen las amenazas importantes en la productividad de la oficina, logística, cadena de suministro y flujos de ingresos

Su plantilla de continuidad comercial podría parecer perfecta en el papel. Sin embargo, las amenazas y los problemas de seguridad a menudo escalan luego de una interrupción comercial. Es fundamental identificar todas las posibles vulnerabilidades de su programa de continuidad empresarial, causadas por desastres naturales, falla tecnológica o error humano, y prepararse para enfrentarlas en consecuencia.

Un administrador de continuidad empresarial (BCM) se identifica en primera instancia para montar el equipo y liderar el desarrollo del plan. Este sujeto debe contar con el apoyo de los niveles más altos de la organización para tener éxito. Esto significa que el programa debe tener un patrocinador ejecutivo y la participación administrativa de los altos mandos a través de un Comité de Dirección.

La experiencia demuestra que los programas BCP con patrocinio ejecutivo tienen más probabilidades de cumplir con los objetivos de tiempo de recuperación (RTO) que aquellos que carecen de dicho tipo de patrocinio.

El BCM selecciona personas desde todos los sectores de la organización para que se unan al equipo. Las selecciones se basan en un análisis de qué tipos de eventos imprevistos pueden ocurrir, ya sean desastres naturales o eventos asociados a inclemencias climáticas, incendios, amenazas a empleados o al perímetro de las premisas, sabotaje, ataques de empleados, eventos informáticos, fallas de equipo, ataques de software malicioso, filtraciones de datos, problemas con la seguridad de los empleados, interrupciones en la cadena de suministro, cortes de energía, daño a la propiedad, robo de propiedad, problemas con la seguridad del producto, disturbios sociales o ataques terroristas, escándalos asociados a la gestión o reputación de la compañía, muerte o fallecimiento imprevisto de un alto ejecutivo.

1. Patrocinador ejecutivo
2. Gerente de continuidad empresarial
3. Agente de seguridad
4. Jefe de información
5. Proveedores y socios esenciales
6. Contactos específicos por departamento, que contemplan: Gestión de riesgo financiero/cumplimiento, gestión de instalaciones de servicio al cliente, relaciones publicas y comunicación laboral, recursos humanos, fabricación/distribución, tecnología de la información, operaciones, logística

Si bien la mayoría de las personas perciben la continuidad empresarial y planificación de recuperación ante desastres como términos intercambiables, estos son planes diferentes.

Un plan de continuidad empresarial proporciona la instrucción para garantizar que la organización mantenga o reanude sus funciones comerciales después de un desastre, estableciendo objetivos de punto de recuperación (RPO) y RTO para reanudar las operaciones de la compañía. Mapea los procesos y procedimientos para activar la evacuación de emergencia y apunta a identificar roles, responsabilidades y contactos.

Garantiza que los empleados tengan un lugar de trabajo temporal protegido (si fuese necesario) con acceso a los sistemas, aplicaciones y teléfonos requeridos para sus trabajos. Garantiza que los procesos comerciales fundamentales funcionen debidamente, la reanudación de las comunicaciones internas y externas, que el sitio web se mantenga en línea y que otras operaciones cruciales se mantengan sin interrupciones.

Un plan de recuperación ante desastres informáticos es un subconjunto del plan de continuidad empresarial. La recuperación ante desastres tiene la finalidad de recuperar los servicios tecnológicos como sistemas, redes y datos y dejarlos “a disposición de los empleados”. El plan de continuidad empresarial luego se hace cargo para que los empleados vuelvan a trabajar desde sus “escritorios” con todas las demás herramientas que necesitan para reanudar las operaciones empresariales habituales.

Si necesita ayuda para desarrollar un plan de recuperación ante desastres informáticos, descargue “Cómo presupuestar de manera efectiva para una recuperación ante desastre informático”. Este documento aborda la preparación para riesgos informáticos y ofrece un enfoque presupuestario sencillo para estimar el costo de una recuperación ante desastres efectiva y continuidad informática para su infraestructura única.

El proceso de planificación de continuidad empresarial podría parecer complejo para muchas compañías. No obstante, su empresa requiere de una estrategia exhaustiva para sobrevivir a un desastre o a un ciberataque.

A continuación, se indican varios ingredientes comunes en casi todo plan de gestión de continuidad empresarial.

Es fundamental saber cómo comunicarse con el personal, clientes, socios comerciales y proveedores en caso de que se detengan las funciones empresariales. Aquí, lo mejor es garantizar una línea de comunicación secundaria para transmitir mensajes críticos sin problemas.

Su plan requiere de puntos claros de contacto para todos los empleados ante un posible desastre. También necesita designar una persona responsable (o equipo) para supervisar el BCP y garantizar que cada empleado sepa cómo comunicarse con ellos.

Comprender las posibles amenazas que pueden derivar en tiempo de inactividad y pérdida de ingresos es fundamental. Como lo hemos discutido, existen numerosas razones para una interrupción, usted debe clasificarlas y asignar niveles de riesgo a cada una.

Responda las siguientes preguntas para facilitar el proceso:

• ¿Qué tan probable es que ocurra la amenaza?
• ¿Qué impacto tendría la amenaza en las operaciones comerciales?

Además, consideré de qué manera la interrupción de los procesos cotidianos afectará los costos de software comercial y respaldos de datos, sistemas informáticos en terreno, eficiencia de la función empresarial y satisfacción del cliente.

Calcular todo ello ayudará a estimar cuántos ingresos se perderán a causa de un desastre.

Su BCP depende de un contacto sin interrupciones con comerciantes, proveedores, propietarios y proveedores de TI y ubicación de respaldo. Saber de antemano que puede comunicarse con todos ellos alivianará algo del estrés asociado con el proceso de recuperación ante desastres.

Su estrategia de recuperación requiere conocer todas las operaciones fundamentales para el negocio y otorgar prioridad a su recuperación. Mantener sus sistemas en funcionamiento debería ser la primera etapa de sus planes de recuperación ante desastres. Se recomienda implementar estos por fases. Esto reducirá el riesgo de error humano, falla de sistema o falta de comunicación.

Un BCP exhaustivo requiere de un plan especializado para gestionar las funciones comerciales luego de un desastre natural (inundación, incendio, huracán, tormentas, etc.).

Es fundamental calcular qué tan probable es que un desastre natural afecte sus procesos empresariales. Luego, usted debe diseñar un plan para destacar qué hacer en situaciones específicas para resguardar a sus empleados, reducir el tiempo de inactividad y garantizar flujos de caja estables.

Son varios los errores que pueden cometerse al crear un plan de continuidad empresarial. Estos son algunos:

Supongamos que usted es dueño de una pyme. Su organización desarrolló un plan de continuidad empresarial el año pasado. Hoy, usted solicitó una copia del plan para revisarlo. Durante su lectura, le sorprendió ver que el RTO para correos electrónicos es de 24 horas. Usted no recuerda que nadie en su equipo le haya preguntado acerca de eso. Usted y sus gerentes pensaban que el sistema de correo electrónico estaría disponible dentro de cuatro horas luego de un desastre. Usted se preguntó por qué usted y otros gerentes no fueron consultados y si otros sectores de la empresa tienen requerimientos no abordados en el alcance del plan de continuidad empresarial.

Primero, el equipo de dirección debe involucrarse en cualquier iniciativa de planificación de continuidad empresarial para garantizar su efectividad. Además, el equipo BCM debería incluir al personal seleccionado para tomar decisiones de otros departamentos en toda la empresa, así como colaboradores financieros, accionistas clave, representantes de servicio, proveedores confiables y personal de TI. Estos individuos deben tener una participación activa para garantizar que el plan de continuidad empresarial y las actividades se alineen con las metas de la organización. Deberían ser capaces de tomar decisiones con respecto a las estrategias de continuidad empresarial para su departamento, y para toda la empresa.

Cada miembro del equipo debe tomarse el tiempo de comprender las operaciones de la organización incluidos sus productos y los servicios y cómo estos se proporcionan. Con este conocimiento, el equipo puede examinar mejor el programa para garantizar que la organización pueda recuperarse de un desastre.

Usted pidió a su equipo una copia del informe de prueba del plan de continuidad empresarial. Usted descubre que el plan nunca fue probado.

Un plan no probado es tan malo como no tener un plan en absoluto. Sin un testeo constante, no hay garantías de que la estrategia asegure que su compañía se recupere de un desastre.

En un artículo reciente, Christopher Britton, director de operaciones en RockDove Solutions, sugiere que cada plan debe ejercerse de la siguiente forma:

• Se debe realizar dos veces al año una revisión por lista de verificación, que corresponde a una revisión de alto nivel sobre cada elemento del plan.
• Se debe realizar una vez al año un simulacro de emergencia, que requiere la participación de todos los accionistas. Esto refuerza la función de cada participante en caso de un desastre y garantiza que el plan funcione.
• Se debe realizar una revisión técnica en cada año. En esta revisión, personal clave que tenga asignado roles de gestión de emergencia y responsabilidades se reúnen para discutir las situaciones de emergencias simuladas.
• Se debe realizar una revisión exhaustiva en cada año posterior o cuando haya cambios importantes en la organización, tales como un cambio importante en la infraestructura informática principal, una fusión u otro cambio relevante en las operaciones comerciales. Este tipo de revisión permite a los accionistas revisar el plan actual para identificar nuevos riesgos y actualizar el plan en consecuencia.
• Se debe realizar una prueba de recuperación simulada cada dos a tres años. Con este tipo de revisión, el plan se prueba a cabalidad para identificar cualquier brecha, ayudar a los empleados a cumplir sus funciones y garantizar que la organización pueda recuperarse de conformidad con los RTO y RPO.

Dado que su equipo desarrolló la versión inicial del plan de continuidad empresarial, usted se dio cuenta de que ha virtualizado parte de su entorno informático y pregunta si el plan incluye estos cambios de infraestructura informática. Le indican que el BCP no ha sido actualizado.

Un plan de continuidad empresarial debería actualizarse siempre que la organización implemente un cambio en las operaciones que suponga nuevas categorías de riesgo. Los accionistas deben reunirse regularmente para discutir los cambios a las empresas que puedan afectar el plan.

Para obtener más información sobre este tema, consulte un artículo titulado “¿Está seguro de que su plan de continuidad empresarial sigue funcionando?”

Usted debe actualizar constantemente su plan para abordar cualquier nuevo riesgo y ciberamenaza, ya que una nueva amenaza puede ser tan destructiva como los demás desastres que su plan ya tiene contemplados.

Durante el primer semestre de 2021, cuatro de cinco organizaciones experimentaron una filtración de ciberseguridad que se originó a partir de una vulnerabilidad en sus ecosistemas de proveedor externo. Si bien usted podría pensar que su pyme “es demasiado pequeña para convertirse en un objetivo”, usted se expone al riesgo de seguir incrementando los ataques automatizados y de cadena de suministro que fijen a sus proveedores de servicios informáticos como objetivos.

Muchas pymes no adoptan las debidas acciones para resguardar y proteger sus sistemas y datos. Esto por sí solo los convierte en un objetivo principal de un ataque. 

La continuidad empresarial y los planes de recuperación ante desastres deben enfocarse en la ciberseguridad para que la empresa pueda tener la certeza de sobrevivir a un ataque y que pueda hacerlo con rapidez.   

Si usted no representa un ejecutivo empresarial, su primera meta debe ser la obtener el patrocinio ejecutivo para un BCP. A modo de inicio, envíe este artículo a todos sus ejecutivos para iniciar una discusión. Una vez que haya un patrocinio ejecutivo, considere la contratación de un asesor para ayudarle con el desarrollo de su plan en caso de que su presupuesto lo permita. De manera alternativa, busque en línea una plantilla de plan descargable que pueda ayudarle a orientarse a través del proceso (sin embargo, tenga en cuenta que una plantilla general no basta para cubrir todos los aspectos particulares de una compañía; el equipo responsable debe adaptarlo a las necesidades y requerimientos específicos de su compañía).

Considere y priorice el tipo de desastres que suelen afectar con mayor frecuencia su industria y formule su plane para abordar tales aspectos en primer lugar. Aún más relevante, someta el plan a pruebas periódicas para garantizar que cuenta con procesos funcionales que mitiguen posibles desastres.

Recuerde que a medida que su empresa sigue en constante evolución, su plan también debe hacerlo. Para obtener más información sobre por qué su plan debe actualizarse constantemente, consulte “¿Está seguro de que su plan de continuidad empresarial sigue funcionando?”

Un plan de continuidad empresarial es fundamental para mantener su empresa... funcionando en caso de que un desastre se presente.

Ninguna compañía es inmune a los desastres naturales como incendio o catástrofes originadas por climas extremos. Quizás más importante, los desastres causados por el error humano – ransomware, malware y otros ataques de hackers asociados a los datos empresariales – van en aumento a un ritmo alarmante.

Cada compañía debe adoptar medidas proactivas para resguardarse contra potenciales desastres. Lo más importante es que cada compañía debe prepararse para reanudar sus funciones comerciales en caso de que (o cuando) se presente un desastre. Lo mejor sería tener un BCP probado y actualizado, que contemple una estrategia de respaldo práctica y bien documentada.

Tan importante como un plan de continuidad empresarial y recuperación ante desastres, cada empresa debe disponer de la solución de ciberseguridad adecuada para garantizar las operaciones comerciales, incluso después de fracasar.

Acronis Cyber Protect le ofrece a las pymes y organizaciones de mayor tamaño lo siguiente:

• Ciberseguridad y gestión de protección de punto final, evaluaciones de vulnerabilidad y gestión de parches, escritorio remoto y estado de unidad
• Protección basada en inteligencia mecánica (MI) de siguiente generación a desarrollo completo contra malware, incluido el filtrado de URL y el escaneo de copia de seguridad automatizado
• Recuperación rápida y confiable de sus aplicaciones, sistemas y datos en cualquier dispositivo, de cualquier incidente

Acronis Cyber Protect utiliza un enfoque revolucionario de ciberprotección. La integración de la protección de datos con la ciberseguridad elimina la complejidad, entrega una mejor protección contra las amenazas actuales y maximiza la eficiencia ahorrando tiempo y dinero. 

Acronis Cyber Protect Cloud faculta a los MSP con un respaldo integrado, recuperación ante desastres, antimalware de próxima generación, seguridad de correo electrónico, gestión de protección de punto final, evaluación de vulnerabilidad y capacidades de gestión de parche para detectar y eliminar amenazas antes de que dañen los entornos de sus clientes.

Con Acronis, los MSP pueden mitigar/eliminar los riesgos para los clientes de mejor forma mientras mantienen los costos bajos. Es la única solución que integra de manera nativa la ciberseguridad, la protección de datos y gestión de protección de punto final para resguardar los puntos finales, sistemas y datos de sus clientes.

También ofrece:

• La mejor solución de respaldo y recuperación en la industria con copia de seguridad de imagen completa y respaldo de cinco niveles y recuperación para resguardar los datos en más de 20 cargas de trabajo; con RPO y RTO cercanos al cero.
• Ciberprotección fundamental sin costo adicional con un motor de detección de comportamiento de próxima generación que detiene el malware, ransomware y ataques de día cero en los puntos finales y sistemas de sus clientes.
• La gestión de protección se incorpora para que los MSP habiliten investigaciones exhaustivas posteriores a los incidentes y busquen una debida solución.

Los MSP pueden ampliar sus servicios incluso más allá con paquetes de protección avanzada y capacidades de ciberprotección únicas, permitiéndoles controlar sus costos pagando solo las funcionalidades que sus clientes requieran. Los paquetes avanzados incluyen:  

Seguridad avanzada

• Antimalware de próxima generación, que utiliza tecnologías basadas en inteligencia mecánica (MI) para evitar la presencia de malware nuevos/emergentes junto con un motor basado en firma para rápida detección de malware conocido 
• Monitoreo de amenazas internacionales y alertas inteligentes y accionables de Acronis Cyber Protection Operation Centers (CPOC) para que pueda mantenerse bien informado acerca de los malware, vulnerabilidades, desastres naturales y otros eventos globales que puedan afectar la protección de datos de sus clientes, de modo que usted pueda adoptar las acciones recomendadas para protegerlos. Por ejemplo, esto podría traducirse en respaldos más frecuentes, escaneos más profundos o instalaciones de parche concretas. 
• Respaldo forense que le permite reunir datos de evidencia digital e incluirlos en los respaldos a nivel de disco que se almacenan en un lugar seguro para protegerlos contra ciberamenazas y usarlos para futuras investigaciones

• Gestión de parches para software de Microsoft y más de 300 aplicaciones de terceros, permitiéndole programar con facilidad o implementar manualmente parches para mantener la protección de datos de sus clientes
• Monitoreo de estado de unidad (disco duro) utilizando tecnología basada en MI para predecir problemas de disco y alertarle para adoptar medidas de precaución para proteger los datos de sus clientes y mejorar la disponibilidad
• Recopilación de inventario de software con escaneos automáticos o a petición para ofrecer una exhaustiva visibilidad del inventario de software de sus clientes 
• Recopilación de inventario de hardware, para que sepa cuántos dispositivos su cliente debe proteger
• Parchado a prueba de fallas mediante la generación de una copia de seguridad de imagen de los sistemas de sus clientes para permitir una fácil recuperación en caso de que un parche inhabilite el sistema de su cliente

Copia de seguridad avanzada

• Protección para más de 20 tipos de carga de trabajo desde una consola individual, incluido Microsoft Exchange, Microsoft SQL Server, clústeres de Oracle DBMS Real Application y SAP HAN
• Un mapa de protección de datos que rastrea la distribución de datos en los equipos de sus clientes monitorea el estado de protección de los archivos y utiliza los datos reunidos como base para informes de cumplimiento
• Protección de datos constante que le garantiza que usted no perderá los cambios realizados en los datos de sus clientes entre copias de seguridad programadas

Recuperación ante desastres avanzada ofrece una orquestación de recuperación ante desastres mediante runbook: un conjunto de instrucciones que definen cómo acelerar el entorno de producción de su cliente en la nube y proporcionan una recuperación rápida y confiable de las aplicaciones, sistemas y datos en cualquier dispositivo, en caso de cualquier incidente.

Seguridad de correo electrónico avanzada bloquea amenazas de correo electrónico, incluido spam, phishing, vulneración del correo electrónico de empresas (BEC), malware, amenazas persistentes avanzadas (ATP) y vulnerabilidades de día cero antes de que alcancen las bandejas de entrada de Microsoft 365, Google Workspace u Open-Xchange de los usuarios finales.