Continuidad del negocio vs. recuperación ante desastres: ¿qué plan le conviene más?

Los planes de continuidad del negocio y recuperación ante desastres son estrategias de gestión de riesgos en las que se basan las empresas para prepararse ante incidentes inesperados. Aunque los términos están estrechamente relacionados, hay algunas diferencias clave que merece la pena tener en cuenta a la hora de elegir el más adecuado para usted:

• Plan de continuidad del negocio (BCP): Un BCP es un plan detallado que describe los pasos que seguirá una organización para volver a la normalidad en caso de catástrofe. Mientras que otros tipos de planes pueden centrarse en un aspecto específico de la recuperación y la prevención de interrupciones (como una catástrofe natural o un ciberataque), los BCP adoptan un enfoque amplio y pretenden garantizar que una organización pueda hacer frente a una gama de amenazas lo más amplia posible.
• Plan de recuperación ante desastres (DRP): de naturaleza más detallada que los DRP, los planes de recuperación ante desastres consisten en planes de contingencia para que las empresas protejan específicamente sus sistemas de TI y sus datos críticos durante una interrupción. Junto con los BCP, los planes de recuperación ante desastres ayudan a las empresas a proteger sus datos y sistemas informáticos frente a diversas situaciones de catástrofe, como cortes masivos, desastres naturales, ataques de ransomware y malware, y muchos otros.
• Continuidad empresarial y recuperación ante desastres (BCDR): la continuidad del negocio y la recuperación ante desastres (BCDR) se pueden abordar juntos o por separado, dependiendo de las necesidades de la empresa. Últimamente, cada vez son más las empresas que se inclinan por la práctica conjunta de ambas disciplinas, pidiendo a los ejecutivos que colaboren en las prácticas de BC y DR en lugar de trabajar de forma aislada. Esto ha llevado a combinar los dos términos en uno solo, BCDR, pero el significado esencial de las dos prácticas permanece inalterado.

Independientemente de cómo decida enfocar el desarrollo de la BCDR en su organización, merece la pena destacar la rapidez con la que está creciendo este campo en todo el mundo. Como los resultados de una mala BCDR, como la pérdida de datos y el tiempo de inactividad, son cada vez más caros, muchas empresas están aumentando sus inversiones actuales. El año pasado, las empresas de todo el mundo estaban preparadas para gastar 219 mil millones de dólares en ciberseguridad y soluciones, un aumento del 12 % respecto al año anterior , según un informe reciente de International Data Corporation (IDC) (enlace externo a ibm.com).

Los planes de continuidad del negocio (BCP) y los planes de recuperación ante desastres (DRP) ayudan a las organizaciones a prepararse para una amplia gama de incidentes no planificados. Cuando se implementa de manera efectiva, un buen plan de recuperación ante desastres puede ayudar a las partes interesadas a comprender mejor los riesgos para las funciones comerciales regulares que puede representar una amenaza en particular. Las empresas que no invierten en la recuperación ante desastres para la continuidad del negocio (BCDR) tienen más probabilidades de experimentar pérdida de datos, tiempo de inactividad, sanciones financieras y daños a la reputación debido a incidentes no planificados.

Estos son algunos de los beneficios que pueden esperar las empresas que invierten en planes de continuidad del negocio y recuperación ante desastres:

• Reducción del tiempo de inactividad: cuando un desastre interrumpe las operaciones comerciales normales, puede costar a las empresas cientos de millones de dólares volver a funcionar. Los ciberataques de alto perfil son particularmente dañinos, con frecuencia atraen atención no deseada y hacen que los inversores y clientes huyan hacia competidores que anuncian tiempos de inactividad más cortos. La implementación de un plan sólido de BCDR puede acortar el tiempo de recuperación, independientemente del tipo de desastre al que se que enfrente.
• Menor riesgo financiero: Según el reciente informe "Cost of a Data Breach" de IBM, el coste medio de una filtración de datos fue de 4,45 millones de dólares en un aumento del 15 % desde 2020. Las empresas con planes sólidos de continuidad del negocio han demostrado que pueden reducir esos costos significativamente al acortar los tiempos de inactividad y aumentar la confianza de los clientes e inversores.
• Reducción de las sanciones: las vulneraciones de datos pueden conllevar grandes sanciones si se filtra información privada de clientes. Las empresas que operan en el ámbito de la atención médica y las finanzas personales corren un mayor riesgo debido a la confidencialidad de los datos que manejan. Contar con una sólida estrategia de continuidad del negocio es imperativo para las empresas que operan en estos sectores, lo que ayuda a mantener el riesgo de fuertes sanciones financieras relativamente bajo.

La BDCR es más eficaz cuando las empresas adoptan un enfoque separado pero coordinado. Si bien los planes de continuidad del negocio (BCP) y los planes de recuperación ante desastres (DRP) son similares, existen diferencias importantes que hacen que desarrollarlos por separado sea ventajoso:

• Los BCP fuertes se centran en tácticas para mantener las operaciones normales en funcionamiento antes, durante e inmediatamente después de un desastre. 
• Los DRP tienden a ser más reactivos y describen formas de responder a un incidente y hacer que todo vuelva a funcionar sin problemas.

Antes de profundizar en cómo puede crear BCP y DRP efectivos, echemos un vistazo a un par de términos que son relevantes para ambos:

• Objetivo de tiempo de recuperación (RTO): El RTO se refiere a la cantidad de tiempo que se tarda en restaurar los procesos empresariales tras un incidente imprevisto. Establecer un RTO razonable es una de las primeras cosas que deben hacer las empresas cuando crean un BCP o un DRP. 
• Objetivo de punto de recuperación (RPO): el objetivo de punto de recuperación (RPO) de su empresa es la cantidad de datos que puede permitirse perder en un desastre y aun así recuperarse. Dado que la protección de datos es una capacidad fundamental de muchas empresas modernas, algunas copian constantemente los datos en un centro de datos remoto para garantizar la continuidad en caso de una violación masiva. Otros establecen un RPO tolerable de unos pocos minutos (o incluso horas) para que los datos empresariales se recuperen de un sistema de copia de seguridad y saben que podrán recuperarse de lo que se haya perdido durante ese tiempo.

Aunque cada empresa tendrá unos requisitos ligeramente diferentes a la hora de planificar la continuidad de su actividad, hay cuatro pasos muy utilizados que dan buenos resultados independientemente del tamaño o el sector.

1. Realizar un análisis de impacto en el negocio 

El análisis de impacto en el negocio (BIA) ayuda a las organizaciones a comprender mejor las diversas amenazas a las que se enfrentan. Un BIA sólido incluye crear descripciones sólidas de todas las posibles amenazas y vulnerabilidades a las que puedan exponer. Además, el BIA estima la probabilidad de cada evento para que la organización pueda priorizarlos en consecuencia.

2. Crear respuestas potenciales

Para cada amenaza que identifique en su BIA, tendrá que desarrollar una respuesta para su empresa. Las diferentes amenazas requieren estrategias diferentes, por lo que para cada desastre al que se enfrente es bueno crear un plan detallado sobre cómo podría recuperarse.

3. Asignar roles y responsabilidades

El siguiente paso es averiguar qué se requiere de todos los miembros de su equipo de recuperación ante desastres en caso de un desastre. Este paso debe documentar las expectativas y considerar cómo se comunicarán las personas durante un incidente no planificado. Recuerde que muchas amenazas apagan las capacidades de comunicación clave, como las redes móviles y Wi-Fi, por lo que es aconsejable contar con procedimientos de respaldo de comunicación en los que pueda confiar.

4. Ensayar y revisar el plan

Para cada amenaza para la que se haya preparado, tendrá que practicar y perfeccionar constantemente los planes del BCDR hasta que funcionen sin problemas. Ensaye un escenario lo más realista posible sin poner a nadie en riesgo real para que los miembros del equipo puedan generar confianza y descubrir su rendimiento en caso de interrupción de la continuidad del negocio.

Al igual que los BCP, los DRP identifican roles y responsabilidades clave y deben probarse y perfeccionarse constantemente para que sean efectivos. Este es un proceso de cuatro pasos ampliamente utilizado para crear DRP.

1. Realizar un análisis de impacto en el negocio

Al igual que su BCP, su DRP comienza con una evaluación cuidadosa de cada amenaza que su empresa podría enfrentar y cuáles podrían ser sus implicaciones. Considere el daño que podría causar cada amenaza potencial y la probabilidad de que interrumpa sus operaciones comerciales diarias. Otras consideraciones podrían incluir pérdida de ingresos, tiempo de inactividad, costo de reparación de la reputación (relaciones públicas) y pérdida de clientes e inversores debido a la mala prensa.

2. Hacer un inventario de los activos

Para que un DRP sea eficaz es necesario saber exactamente qué posee su empresa. Realice regularmente estos inventarios para que pueda identificar fácilmente el hardware, el software, la infraestructura de TI y cualquier otra cosa en la que confíe su organización para las funciones comerciales críticas. Puede utilizar las siguientes etiquetas para clasificar cada activo y priorizar su protección: crítico, importante y no importante.

• Crítico: Etiquete los activos como críticos si depende de ellos para sus operaciones comerciales normales.
• Importante: Ponga esta etiqueta a cualquier cosa que utilice al menos una vez al día y, si se interrumpe, afectará a sus operaciones críticas (pero no las cerrará por completo).
• Sin importancia: estos son los activos que posee su empresa, pero que utiliza con poca frecuencia como para que no sean esenciales para las operaciones normales.

3. Asignar roles y responsabilidades

Al igual que en su BCP, tendrá que describir las responsabilidades y asegurarse de que los miembros de su equipo tienen lo que necesitan para realizarlas. Estas son algunas funciones y responsabilidades ampliamente utilizadas que se deben tener en cuenta:

• Informador de incidentes: Alguien que mantiene la información de contacto de las partes relevantes y se comunica con los líderes empresariales y las partes interesadas cuando se producen eventos perturbadores.
• Supervisor de DRP: Alguien que se asegure de que los miembros del equipo realicen las tareas que se les han asignado durante un incidente. 
• Gestor de activos: Alguien cuyo trabajo es asegurar y proteger los activos críticos cuando ocurre un desastre. 

4. Ensayar el plan

Al igual que con su BCP, necesitará practicar y actualizar constantemente su DRP para que sea eficaz. Practique con regularidad y actualice sus documentos en función de los cambios significativos que sea necesario realizar. Por ejemplo, si su empresa adquiere un nuevo activo tras la creación de su DRP, tendrá que incorporarlo a su plan de ahora en adelante o no estará protegido cuando ocurra un desastre.

Tanto si necesita un plan de continuidad del negocio (BCP) como un plan de recuperación ante desastres (DRP), o ambos trabajando juntos o por separado, puede resultarle útil observar cómo otras empresas han puesto en marcha planes para aumentar su preparación. He aquí algunos ejemplos de planes que han ayudado a las empresas a prepararse tanto para la continuidad del negocio como para la recuperación ante desastres.

• Plan de gestión de crisis: un buen plan de gestión de crisis puede formar parte de la continuidad del negocio o de la planificación de la recuperación ante desastres. Los planes de gestión de crisis son documentos detallados que describen cómo se gestionará una amenaza concreta. Proporcionan instrucciones detalladas sobre cómo responderá una organización a un tipo concreto de crisis, como un apagón, un ciberdelito o una catástrofe natural; en concreto, cómo afrontará las presiones hora a hora y minuto a minuto mientras se desarrolla el suceso. Muchos de los pasos, funciones y responsabilidades necesarios en la planificación de la continuidad del negocio y la recuperación ante desastres son pertinentes para unos buenos planes de gestión de crisis.
• Plan de comunicación: los planes de comunicación se aplican por igual a los esfuerzos de continuidad del negocio y recuperación ante desastres. Esbozan el modo en que su organización abordará específicamente los problemas de relaciones públicas durante un incidente imprevisto. Para crear un buen plan de comunicación, los líderes empresariales suelen coordinarse con especialistas en comunicaciones para formular sus planes de comunicación. Algunos tienen planes específicos para los desastres que se consideran probables y graves, por lo que saben exactamente cómo van a responder.
• Plan de recuperación de la red: los planes de recuperación de la red ayudan a las organizaciones a recuperar las interrupciones de los servicios de red, incluido el acceso a internet, los datos móviles, las redes de área local (LAN) y las redes de área amplia (WAN). Los planes de recuperación de la red suelen tener un alcance amplio, ya que se centran en una necesidad básica y esencial, la comunicación, y deben considerarse propios de la continuidad del negocio que de la recuperación ante desastres. Dada la importancia de muchos servicios en red para las operaciones empresariales, los planes de recuperación de red se centran en los pasos necesarios para restaurar los servicios de forma rápida y eficaz después de una interrupción.
• Plan de recuperación del centro de datos: es más probable que un plan de recuperación del centro de datos se incluya en un BCP que en un DRP, debido a que se centra en la seguridad de los datos y en las amenazas a la infraestructura de TI. Algunas amenazas comunes para la copia de seguridad de datos incluyen personal sobrecargado, ciberataques, cortes de energía y dificultad para cumplir con los requisitos de conformidad. 
• Plan de recuperación virtualizado: al igual que un plan de centro de datos, es más probable que un plan de recuperación virtualizado forme parte de un BCP que de un DRP, debido a que el BCP se centra en los recursos de datos y de TI. Los planes de recuperación virtualizados se basan en instancias de máquinas virtuales (VM) que pueden comenzar a funcionar en un par de minutos luego de una interrupción. Las máquinas virtuales son representaciones/emulaciones de equipos físicos que proporcionan recuperación de aplicaciones críticas a través de la alta disponibilidad (HA), o la capacidad de un sistema para funcionar continuamente sin fallos.

Incluso una pequeña interrupción puede poner en riesgo su negocio. IBM dispone de una amplia gama de planes de contingencia y soluciones de recuperación ante desastres que le ayudarán a preparar su empresa para hacer frente a diversas amenazas, incluidas las capacidades de copia de seguridad y recuperación ante desastres en la nube y los servicios de seguridad y resiliencia.