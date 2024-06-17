La continuidad de negocio se refiere a la capacidad de una organización para mantener funciones comerciales críticas, minimizar las interrupciones y reanudar las operaciones normales con un tiempo de inactividad mínimo cuando ocurre una crisis. Estas crisis pueden incluir ciberataques, fallas de equipos o de la cadena de suministro, desastres naturales, cortes de energía y otros eventos inesperados.
Sin un plan de continuidad de negocio, las empresas son vulnerables a toda una serie de incidentes. Cuando se produjo la pandemia de Covid en 2020, el 51 % de las empresas en todo el mundo no disponía de un plan de continuidad de negocio.1
Esta falta de gestión de la continuidad de negocio (BCM) puede resultar costosa. Por ejemplo, el costo promedio de una filtración de datos en 2023 fue de 4.45 millones de dólares, según el Informe del costo de una filtración de datos de IBM.2 Tras una pérdida de este tipo, las empresas pueden tener dificultades para recuperarse. Más del 40 % de las empresas no volverán a abrir después de enfrentar un desastre.3 Invertir en la planeación de la continuidad de negocio puede suponer un ahorro a largo plazo, ya que las estrategias de recuperación están en marcha incluso antes de que se produzca una amenaza.
Un plan de continuidad de negocio (BCP) detalla los pasos que seguirá una organización para volver a las funciones comerciales normales en caso de un desastre. Los BCP adoptan un enfoque expansivo, con el objetivo de preparar a las empresas para hacer frente a una amplia gama de amenazas potenciales.
Si bien los planes de continuidad del negocio y los planes de recuperación ante desastres son planes de contingencia, cada uno aborda la gestión de crisis de manera diferente. Mientras que la gestión de continuidad de negocio se centra en la preparación de manera más amplia, un plan de recuperación ante desastres (DRP) se centra específicamente en proteger los datos y los sistemas de TI a medida que ocurre un incidente.
Los BCP son una estrategia proactiva de continuidad de negocio para mantener las funciones comerciales antes, durante e inmediatamente después de una interrupción. Mientras tanto, los DRP son una estrategia reactiva para responder y recuperarse de manera eficaz de los desastres.
Estos dos planes a menudo se manejan por separado, pero un enfoque coordinado de la continuidad de negocio y la recuperación ante desastres puede fortalecer aún más la resiliencia operativa de una organización.
Cuando ocurre un incidente no planeado, un plan de continuidad de negocio puede mostrar el camino a seguir e introducir estructura en los procesos de respuesta y recuperación.
Estos son algunos de los beneficios que pueden esperar las empresas que invierten en la creación de un BCP sólido:
Un suceso catastrófico puede provocar un tiempo de inactividad perturbador. Se produce un caos, y los equipos a menudo luchan por volver a poner en marcha los sistemas. Un programa de continuidad de negocio puede ayudar a minimizar esta interrupción, con un plan de gestión de crisis y procedimientos de gestión de emergencias para volver a estar en línea en menos tiempo.
Una vez que las funciones comerciales críticas están en funcionamiento, los equipos pueden centrarse en reanudar los procesos empresariales normales. Un BCP especifica un objetivo de tiempo de recuperación, o RTO, que es la cantidad de tiempo que toma restaurar los procesos de negocio luego de un incidente no planeado. La implementación de BCP rigurosamente probados que establezcan un RTO razonable puede resultar en una rápida recuperación del negocio, lo cual aumenta la confianza de los clientes, inversionistas y stakeholders.
Las interrupciones del negocio pueden ser costosas: cada minuto que los sistemas de una empresa están inactivos se puede traducir en pérdida de ingresos. La BCM puede reducir significativamente los costos de recuperación. Por ejemplo, las organizaciones pueden invertir en soluciones de ciberseguridad como la IA de seguridad y la automatización como parte de su plan de continuidad de negocio, lo que puede generar un ahorro promedio de USD 1.76 millones, según el Informe del costo de una filtración de datos de IBM.2 Un BCP también puede reducir el impacto de cualquier posible daño a la reputación que pudiera surgir a partir de ello.
La continuidad de negocio puede ser incluso un requisito normativo, especialmente en sectores como la atención médica y las finanzas personales. Establecer un BCP sólido es fundamental para las empresas que operan en estas industrias, ya que les ayuda a cumplir las normas de cumplimiento.
Cuando se trata de la planeación de la continuidad de negocio, cada organización tendrá sus propias necesidades. Y aunque no existe un marco único que se adapte a todas las empresas, presentamos cuatro pasos que las empresas pueden seguir para crear un BCP eficaz:
Un análisis de impacto en el negocio (BIA) es una parte crucial de la gestión de riesgos y sirve como primer paso en el proceso de planificación. Implica una evaluación de riesgos para examinar diversas funciones del negocio y determinar posibles riesgos, amenazas y vulnerabilidades. Un BIA también implica estimar la probabilidad de estos eventos y su impacto potencial en las operaciones comerciales para que las organizaciones puedan priorizar en consecuencia.
Para cada evento identificado, las empresas deben diseñar una respuesta adecuada. Es vital que la respuesta incluya protocolos claros y acciones detalladas para abordar una amenaza.
Diferentes eventos requieren diferentes niveles de respuesta. Por ejemplo, cuando un corte de energía o un ciberataque provoca una interrupción, es posible que una empresa necesite poner en línea primero la infraestructura de TI de misión crítica y otras aplicaciones importantes en funcionamiento más tarde.
En este paso también entran en juego las consideraciones tecnológicas, especialmente a la hora de establecer un objetivo de punto de recuperación (RPO). El RPO de una organización se refiere a la cantidad de datos que puede permitirse perder en caso de desastre y aun así recuperarse. En función de su RPO, las empresas pueden buscar herramientas de copia de seguridad y restauración de datos. Estas herramientas ayudan con la reparación ante pérdida de datos, las copias de seguridad y recuperación ante desastres de soluciones que almacenan los datos fuera de las instalaciones en un centro de datos remoto, y servicios de terceros como la recuperación ante desastres como servicio (DRaaS).
Durante este paso, los líderes empresariales y stakeholders designarán miembros clave del equipo que pondrán el plan en acción y guiarán las iniciativas de respuesta y recuperación. Un BCP eficaz define claramente las responsabilidades de cada miembro del equipo y describe los recursos necesarios para cumplir sus funciones. También incluye información de contacto de estos miembros del equipo, así como medios de comunicación alternativos en caso de que una interrupción afecte la conectividad.
Para probar la solidez de un BCP, las organizaciones deben someterlo a pruebas periódicas y revisiones continuas. La capacitación es esencial para educar a los empleados sobre las amenazas potenciales, mientras que las pruebas frecuentes de escenarios realistas pueden ayudar a identificar problemas y oportunidades de mejora. Al probar y perfeccionar regularmente un plan de continuidad de negocio, las empresas están lo más preparadas posible cuando ocurre un desastre real.
