Adáptese y responda a los riesgos con un plan de continuidad del negocio (BCP)

Por IBM Services

¿Qué es un plan de continuidad del negocio?

Un plan de continuidad del negocio (BCP) es un documento que describe cómo una empresa seguirá funcionando durante una interrupción no planificada del servicio. Es más completo que un plan de recuperación de desastres e incluye contingencias para procesos empresariales, activos, recursos humanos y socios de negocios; cada ámbito del negocio que podría verse afectado.

Los planes suelen contener una lista de comprobación que incluye suministros y equipamiento, copias de seguridad de datos y ubicaciones para las copias de seguridad. Los planes también pueden identificar administradores de planes e incluir información de contacto del personal de emergencia, personal esencial y proveedores de sitios de respaldo. Además, los planes pueden proporcionar estrategias detalladas para que las organizaciones puedan mantener las operaciones empresariales en interrupciones tanto a corto como a largo plazo.

Un componente clave de un plan de continuidad del negocio es el plan de recuperación de desastres que incluye estrategias para gestionar interrupciones de TI en redes, servidores, computadoras personales y dispositivos móviles. El plan debe abordar cómo restablecer la productividad de la oficina y el software empresarial para que se puedan satisfacer las necesidades empresariales importantes. El plan debe describir las soluciones manuales que se han de implementar, así las operaciones pueden continuar funcionando hasta que los sistemas informáticos puedan restaurarse.

Hay tres aspectos principales que un plan de continuidad del negocio debe tener para aplicaciones y procesos clave:

  • Alta disponibilidad: debe proporcionar los recursos y los procesos para que una empresa tenga acceso a las aplicaciones, independientemente de los fallos locales. Estos errores pueden ocurrir en los procesos empresariales, en las instalaciones físicas o en el hardware o software de TI.
  • Operaciones continuas: debe garantizar la capacidad de mantener las cosas en funcionamiento durante una interrupción y también durante los cortes planificados, como las copias de seguridad planificadas o el mantenimiento programado.
  • Recuperación de desastres: debe establecer una manera de recuperar un centro de datos en un sitio diferente si un desastre destruye el sitio principal o lo vuelve inoperable.

 

Evolución de los planes de continuidad del negocio

La planificación de la continuidad del negocio surgió de la planificación de la recuperación de desastres a principios de la década de 1970. Las organizaciones financieras, como bancos y compañías de seguros, invirtieron en sitios alternativos. Las copias de seguridad en cinta se almacenaban en sitios protegidos lejos de las computadoras. Los procesos de recuperación casi siempre eran provocados por un incendio, una inundación, una tormenta u otra destrucción física. La década de 1980 vio el crecimiento de los sitios de recuperación comerciales que ofrecían servicios de computación en una base compartida, pero el énfasis todavía estaba solo en la recuperación de TI.

La década de 1990 trajo un fuerte aumento en la globalización corporativa y la ubicuidad del acceso a los datos. Las empresas comenzaron a pensar más allá de la recuperación de desastres y de forma más completa acerca de todo el proceso de continuidad del negocio. Se dieron cuenta de que sin un BCP completo podrían perder clientes y su ventaja competitiva. Al mismo tiempo, la planificación de la continuidad del negocio se estaba volviendo más compleja porque tenía que considerar arquitecturas de aplicaciones como aplicaciones distribuidas, procesamiento distribuido, datos distribuidos y entornos de computación híbridos.

Las empresas hoy en día son cada vez más conscientes de su vulnerabilidad a ataques cibernéticos que pueden paralizar un negocio o destruir permanentemente sus sistemas de TI. Además, la transformación digital y la hiperconvergencia crean gateways no intencionadas a riesgos, vulnerabilidades, ataques y fallos. Los planes de continuidad del negocio deben incluir una estrategia de resiliencia cibernética que pueda ayudar a una empresa a soportar incidentes cibernéticos disruptivos. Estos planes suelen contener formas de defenderse de esos riesgos, proteger aplicaciones y datos importantes y recuperarse de brechas o fallos de manera controlada y cuantificable.

También está el problema de los grandes volúmenes de datos en constante crecimiento. Las aplicaciones como el apoyo en la toma de decisiones, el almacenamiento de datos, la minería de datos y la gestión de recursos del cliente pueden requerir inversiones en petabytes de almacenamiento en línea.

La recuperación de datos ya no se presta a un enfoque unidimensional. La compleja infraestructura de TI de la mayoría de las instalaciones ha excedido la capacidad de la mayoría del comercio para responder de la forma en que lo hacían hace unos años. Estudios han demostrado que sin una planificación adecuada, las empresas que de alguna manera se recuperaron de un desastre inmediato no sobrevivieron en el mediano plazo.

 

¿Por qué es importante implementar un plan de continuidad del negocio?

Es importante para poder identificar y abordar la sincronización de resiliencia entre procesos empresariales, aplicaciones e infraestructura de TI. Según IDC, en promedio, una falla de infraestructura puede costar USD 100,000 por hora y una falla de una aplicación importante puede costar entre USD 500,000 a USD 1 millón por hora.

Para resistir y prosperar entre estas muchas amenazas, las empresas han comprendido que necesitan hacer más que crear una infraestructura confiable que soporte el crecimiento y proteja los datos. Actualmente, están desarrollando planes de continuidad del negocio integrales que pueden mantener sus operaciones en funcionamiento, proteger los datos y la reputación de la marca, retener clientes y, en última instancia, ayudar a reducir los costos operacionales totales a largo plazo. Tener un plan de continuidad del negocio puede minimizar el tiempo de inactividad y mejorar la continuidad del negocio, la recuperación de desastres, las capacidades de gestión de crisis corporativas y el cumplimiento normativo de forma sustentable.

Sin embargo, desarrollar un plan integral de continuidad del negocio se ha vuelto más difícil porque los sistemas están cada vez más integrados y distribuidos en entornos de TI híbridos, lo que crea posibles vulnerabilidades. Vincular más sistemas importantes entre sí para gestionar las expectativas más altas complica la planificación de la continuidad del negocio, además de la recuperación de desastres, la resiliencia, el cumplimiento normativo y la seguridad. Cuando un eslabón de la cadena se rompe o sufre un ataque, el impacto puede extenderse a todo el negocio. Una empresa puede enfrentarse a la pérdida de ingresos y de la confianza de los clientes si no logra mantener la resiliencia empresarial mientras se adapta y responde rápidamente a los riesgos y oportunidades.

 

Uso de soluciones de consultoría, software y nube para un plan de continuidad del negocio

Muchas empresas luchan por desarrollar sus estrategias de resiliencia lo suficientemente rápido como para abordar los entornos de TI híbridos actuales y las cambiantes demandas empresariales. En un mundo disponible 24/7, las empresas globales pueden obtener una ventaja competitiva, o perder participación en el mercado, dependiendo de la fiabilidad de los recursos de TI que satisfacen las necesidades empresariales básicas.

Algunas organizaciones utilizan servicios externos de consultoría de gestión de la continuidad del negocio para ayudar a identificar y abordar la sincronización de resiliencia entre procesos empresariales, aplicaciones e infraestructura de TI. Los consultores pueden proporcionar una solución flexible de continuidad del negocio y recuperación de desastres para responder a las necesidades de una empresa, incluyendo evaluaciones, planificación y diseño, implementación, pruebas y gestión completa de la continuidad del negocio.

Hay servicios proactivos, como IBM IT Infrastructure Recovery Services, para ayudar a las empresas a identificar los riesgos y asegurarse de que están preparados para detectar, responder y recuperarse de una interrupción.

Con el aumento de los ataques cibernéticos, las empresas están evolucionando de un enfoque de recuperación tradicional/manual a un enfoque de resiliencia automatizado y definido por software. El enfoque IBM Cyber Resilience Services utiliza tecnologías avanzadas y mejores prácticas para ayudar a evaluar los riesgos, priorizar y proteger aplicaciones y datos empresariales importantes. Estos servicios también pueden ayudar a las organizaciones a recuperarse rápidamente durante y después de un ciberataque.

Otras empresas recurren a servicios de copia de seguridad basados en la nube, como IBM Disaster Recovery as a Service (DRaaS) para obtener replicación continua de aplicaciones, infraestructura, datos y sistemas importantes para una rápida recuperación tras una interrupción de TI. También hay opciones de servidores virtuales, como IBM Cloud Virtualized Server Recovery para proteger los servidores esenciales en tiempo real. Esto permite una rápida recuperación de sus aplicaciones en un IBM Resiliency Center para mantener las empresas operativas durante periodos de mantenimiento o un tiempo de inactividad inesperado.

Para un gran número de empresas, la solución es la orquestación de resiliencia, un enfoque basado en la nube que utiliza la automatización de recuperación de desastres y un conjunto de herramientas de gestión de continuidad del negocio diseñadas específicamente para entornos de TI híbridos. Por ejemplo, IBM Resiliency Orchestration ayuda a proteger las dependencias de procesos empresariales en aplicaciones, datos y componentes de infraestructura. Aumenta la disponibilidad de las aplicaciones empresariales para que las empresas puedan acceder a la inteligencia de alto nivel o en profundidad en relación con el objetivo de punto de recuperación (RPO), objetivo de tiempo de recuperación (RTO) y el rendimiento general de la continuidad de TI desde un panel de control centralizado.

 

Características principales de un plan de continuidad del negocio efectivo (BCP)

Los componentes de la continuidad del negocio son:

  • Estrategia: objetos que están relacionados con las estrategias utilizadas por la empresa para completar las actividades del día a día mientras aseguran las operaciones continuas
  • Organización: objetos relacionados con la estructura, las habilidades, las comunicaciones y las responsabilidades de sus empleados
  • Aplicaciones y datos: objetos que están relacionados con el software necesario para habilitar las operaciones empresariales, así como el método para proporcionar la alta disponibilidad para implementar dicho software
  • Procesos: objetos relacionados con el proceso empresarial esencial necesario para mantener el negocio en funcionamiento, así como los procesos de TI utilizados para garantizar operaciones sin problemas
  • Tecnología: objetos que están relacionados con los sistemas, la red y la tecnología específica de la industria necesaria para permitir operaciones y copias de seguridad continuas de aplicaciones y datos
  • Instalaciones: objetos que están relacionados con proporcionar un sitio de recuperación de desastres si se destruye el sitio principal

El plan de continuidad del negocio se convierte en una fuente de referencia en el momento de un evento o crisis de continuidad del negocio y en la estrategia y las tácticas para enfrentar dicho evento o crisis.

La figura a continuación ilustra un proceso de planificación de continuidad del negocio utilizado por IBM Global Technology Services. Es un bucle cerrado que tiene como objetivo la iteración y la mejora continuas. Hay tres secciones principales en el proceso de planificación:

  • Priorización empresarial: identificar varios riesgos, amenazas y vulnerabilidades, y establecer prioridades.
  • Integración en TI: considerar la información de la priorización empresarial y diseñar el plan de continuidad del negocio de forma general.
  • Gestión: administrar lo que se ha evaluado y diseñado.
Priorización empresarial, Integración en TI, Gestión