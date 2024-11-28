Una estrategia de continuidad del negocio, también conocida como plan de continuidad del negocio (BCP), es un enfoque proactivo para mantener las operaciones comerciales normales en caso de desastre.
Las empresas exitosas siempre se han enfrentado a una amplia gama de amenazas que tienen el potencial de perturbar sus negocios. Sin embargo, en la economía global digitalmente conectada de hoy en día, las amenazas son más complejas y devastadoras. Desde ciberataques que provocan vulneraciones de datos masivas, hasta desastres naturales que provocan tiempo de inactividad e interrupciones de la cadena de suministro y pérdida de datos, las empresas modernas deben adoptar un enfoque estratégico para mantener la continuidad del negocio.
La continuidad del negocio es la capacidad de una organización para mantener las funciones empresariales críticas y minimizar el tiempo de inactividad en caso de crisis. Ejemplos de este tipo de crisis son los ciberataques, los fallos en la cadena de suministro , los cortes inesperados de electricidad, etc.
Estas interrupciones son caras. Según el informe Cost of a Data Breach de IBM , el coste medio global de una vulneración de datos (solo un resultado potencial de una interrupción) aumentó un 10% con respecto al año pasado y alcanzó su importe más alto hasta la fecha.
Una sólida gestión de la continuidad del negocio (BCM), que incluya la implementación de estrategias exitosas de continuidad del negocio y recuperación ante desastres, ayuda a evitar paradas prolongadas, infracciones costosas y peligrosas, etc.
Tanto la continuidad del negocio como la recuperación ante desastres (DR) son procesos estratégicos que forman el núcleo de la gestión estratégica de crisis. Los dos términos están estrechamente relacionados y a menudo se usan indistintamente, y pueden combinarse en una práctica conocida como recuperación ante desastres para la continuidad del negocio (BCDR) que ayuda a las organizaciones a volver a la normalidad después de que ocurra un desastre. Sin embargo, hay varias diferencias clave que vale la pena señalar.
La planificación de la continuidad del negocio tiende a centrarse en la preparación de la organización para enfrentarse a una amplia gama de amenazas. Los planes de continuidad del negocio (BCP) suelen describir normalmente procedimientos paso a paso para garantizar el estado de las funciones de actividad principal del negocio antes, durante e inmediatamente después de una interrupción.
Por otro lado, los planes de recuperación ante desastres (DRPs) se centran en formas de proteger los datos, la infraestructura y los sistemas informáticos mientras ocurre un desastre. Los DRP suelen consistir en recomendaciones para tecnologías resilientes, listas sólidas de buenas prácticas y acciones importantes para minimizar la pérdida de datos y las interrupciones empresariales derivadas de un incidente.
Cuando un desastre amenaza las operaciones de la actividad principal, tener una estrategia de continuidad del negocio en marcha ayuda a la organización a recuperarse rápidamente y de forma eficaz. Estos son algunos de los beneficios que pueden esperar las empresas que adoptan un enfoque estratégico del BCM.
El tiempo de inactividad puede tener graves consecuencias para la empresa y, cuanto más dure, más perjudicial puede resultar. Además de causar interrupciones en las operaciones normales del negocio, los tiempos de inactividad pueden provocar pérdidas de ingresos, daños reputacionales y pérdida de datos.
Unas estrategias sólidas de continuidad del negocio ayudan a las organizaciones a poner en marcha procedimientos y a probarlos, de modo que cuando se produzca un incidente imprevisto, estén preparadas.
El objetivo de tiempo de recuperación (RTO) de una empresa es una medida de la cantidad de tiempo que se tarda en restaurar los procesos empresariales críticos después de una interrupción. Las estrategias de continuidad del negocio especifican los RTOs para los empleados y describen las tareas y procedimientos necesarios para alcanzarlos. Las organizaciones que implementan un BCP tienen más posibilidades de alcanzar su RTO y recuperar la confianza de los inversores, los clientes y las partes interesadas tras un desastre.
La interrupción del negocio es cara. Según una investigación reciente, el tiempo de inactividad cuesta a las empresas mundiales una media de 9.000 dólares por minuto, y los costes en sectores de alto riesgo como las finanzas y la sanidad alcanzan los 5 millones de dólares.1
Las estrategias de recuperación exitosas ayudan a reducir los riesgos de varias maneras importantes, como establecer evaluaciones de riesgos precisas e incorporar soluciones de ciberseguridad probadas en los esfuerzos de respuesta y recuperación.
Las grandes organizaciones que operan en más de una jurisdicción deben cumplir con todos los requisitos regulatorios relevantes o enfrentan fuertes sanciones económicas y la posible pérdida de licencias de operación críticas. Si bien las normas varían de un territorio a otro, contar con un BCP sólido es crítico para garantizar el cumplimiento y evitar costosas repercusiones.
Las estrategias de continuidad del negocio ayudan a garantizar que las operaciones críticas se reanuden tras interrupciones, protegiendo datos sensibles y manteniendo la prestación de servicios para cumplir con los requisitos de la normativa de cumplimiento.
Las organizaciones tienen diferentes necesidades a la hora de elaborar una estrategia exitosa de continuidad del negocio. En función del tamaño, el sector, las necesidades empresariales y los riesgos potenciales a los que es probable que se enfrenten, los enfoques varían. Aun así, hay cuatro pasos universalmente reconocidos que se pueden tomar para prepararse mejor ante eventos inesperados.
Realizar u análisis de impacto empresarial (BIA) es el proceso de evaluar la actividad principal y evaluar cómo respondería ante ciertos desastres. El BIA también implica estimar la probabilidad de posibles sucesos, determinar cómo podrían exponer las vulnerabilidades de los sistemas y procesos e hipotetizar sobre el impacto potencial en las operaciones empresariales. Una BIA sólida es el primer paso de la planificación estratégica que ayuda a priorizar los activos y sistemas necesarios para recuperarse de un paro laboral.
Para cada amenaza potencial identificada en el BIA, las organizaciones deben diseñar una respuesta adecuada. Diversas amenazas requieren herramientas y planificación distintas; por ejemplo, en caso de un corte de energía, una empresa podría priorizar la restauración de infraestructuras de TI de misión crítica antes de abordar cualquier otra cosa.
Dado que las plataformas de comunicaciones digitales y los datos desempeñan un papel crucial en la mayoría de las empresas modernas, restaurar funcionalidades en estas áreas suele ser la mayor prioridad. Por ejemplo, algunas de las soluciones de DR más populares implican prácticas de data backup y prevención de pérdida de datos críticos donde los datos críticos se trasladan fuera de las instalaciones y pueden recuperarse más fácilmente en caso de catástrofe.
Como parte de una estrategia eficaz de continuidad del negocio, las partes interesadas deben designar a los miembros del equipo que asumirán ciertas responsabilidades para ayudar a la organización en caso de un incidente imprevisto. Las estrategias de continuidad del negocio eficaces describen claramente las funciones, responsabilidades e información de contacto de los miembros del equipo, incluidos medios de comunicación alternativos si una interrupción provoca fallos generalizados en la red.
Para probar la eficacia de su estrategia, una organización debe ensayar constantemente simulaciones de las amenazas potenciales. Los equipos de continuidad deben estar formados para realizar tareas que se les requieran durante un desastre real y tener la oportunidad de practicar con frecuencia. Las ejecuciones de prueba de escenarios realistas también ayudan a detectar problemas en una estrategia e identificar áreas de mejora.
Muchas empresas modernas de éxito han elaborado estrategias de continuidad del negocio siguiendo los pasos descritos anteriormente para ayudarles a hacer frente a una amplia gama de amenazas. Estos son algunos ejemplos:
Las estrategias de gestión de crisis son deliberadamente amplias y ayudan a las organizaciones a identificar las formas en que pueden responder a una serie de crisis. A diferencia de las estrategias que se centran en tipos específicos de activos que pueden ser valiosos para una organización, como la infraestructura informática o los datos, una estrategia de gestión de crisis planifica cada hora y minuto de una crisis e intenta anticipar las mejores formas en que la organización puede responder a medida que se desarrolla la crisis.
Tanto el BCP como la DR están integrados en los planes de gestión de crisis, pero con énfasis en el cronograma de la crisis y qué medidas de BC y DR se adoptarán, cuándo y por quién.
Los planes de comunicación describen cómo las empresas se dirigen a los relaciones públicas (RP) durante un desastre. Una planificación eficaz de la comunicación ayuda a los líderes empresariales a desarrollar una estructura y una metodología para responder a un evento disruptivo, así como los canales que utilizarán.
Por ejemplo, algunos líderes elaboran de antemano mensajes concisos y efectivos destinados a diferentes públicos, como empleados, clientes o inversores. Si se produce un evento previsto, como un ciberataque o un desastre natural, ya cuentan con su estrategia de mensajes y canales para responder.
Uno de los aspectos más importantes de la continuidad del negocio es la restauración de las redes de comunicación afectadas. Abundan los ejemplos, como Internet, el móvil y la intranet que utilizan los empleados, y su interrupción puede resultar devastadora.
La planificación de la recuperación de la red suele implicar identificar qué servicios de red son más importantes para una empresa y priorizar su restauración por encima de los otros. La parte de recuperación de la red de una estrategia de continuidad del negocio debe identificar las acciones y los recursos necesarios para la restauración segura y eficaz de todas y cada una de las redes tras una interrupción.
La seguridad de datos y las amenazas a la infraestructura de TI—como centros de datos que almacenan en algunos casos información altamente confidencial de clientes y empresas—son aspectos importantes de la estrategia de continuidad de negocio. Los planes de recuperación de datos se centran en muchas amenazas comunes, como la sobrecarga de personal, los ciberataques y las interrupciones que tienen implicaciones para la seguridad de datos.
Los planes de recuperación virtualizados que se basan en instancias de máquinas virtuales (VM) para hacer copias de seguridad y restaurar los datos se han hecho cada vez más populares debido a su flexibilidad y escalabilidad. Los planes de recuperación virtualizados pueden empezar a funcionar en cuestión de minutos cuando se produce un desastre, lo que ayuda a las aplicaciones a recuperarse rápidamente gracias a su alta disponibilidad (HA).
Hoy en día, las organizaciones se enfrentan a una amplia gama de amenazas que tienen el potencial de perturbar su negocio. Desde desastres naturales que cortan la energía durante días hasta ciberataques complejos que amenazan los datos confidenciales. Se deben tomar medidas adecuadas para mitigar el riesgo.
La elaboración de una estrategia de continuidad del negocio exitosa ayuda a garantizar a los inversores, empleados y clientes que una empresa puede recuperarse rápidamente de cualquier problema que enfrente. Aunque no hay dos negocios iguales y las necesidades varían, seguir un enfoque sencillo de cuatro pasos es la mejor manera de crear una estrategia de continuidad del negocio exitosa.
1. El verdadero coste del tiempo de inactividad (y cómo evitarlo) (enlace externo a ibm.com) Forbes, abril de 2024
