Continuidad de negocio frente a recuperación ante desastres: ¿qué plan es el adecuado para usted?
26 de enero de 2024.

7 minutos

Los planes de continuidad de negocio y recuperación ante desastres son estrategias de gestión de riesgos en las que las compañías confían para prepararse para incidentes inesperados. Si bien los términos están estrechamente relacionados, existen algunas diferencias clave que vale la pena considerar al elegir cuál es el adecuado para usted:

  • Plan de continuidad de negocio (BCP): un BCP es un plan detallado que describe los pasos que tomará una organización para volver a las funciones comerciales normales en caso de un desastre. Mientras que otros tipos de planes podrían centrarse en un aspecto específico de la recuperación y la prevención de interrupciones (como un desastre natural o un ataque cibernético), los BCP adoptan un enfoque amplio y tienen como objetivo garantizar que una organización pueda enfrentar una gama de amenazas tan amplia como sea posible.
  • Plan de recuperación ante desastres (DRP): más detallado que los BCP, los planes de recuperación ante desastres consisten en planes de contingencia para proteger específicamente sus sistemas de TI y datos críticos durante una interrupción. Junto con los planes de continuidad de negocio, los planes de recuperación ante desastres ayudan a las compañías a proteger los datos y los sistemas informáticos frente a numerosas situaciones de catástrofe, como cortes masivos, catástrofes naturales, ataques de ransomware y malware, y muchas otras.
  • Continuidad de negocio y recuperación ante desastres (BCDR): la continuidad del negocio y la recuperación ante desastres (BCDR) se pueden abordar juntas o por separado según las necesidades del negocio. Recientemente, cada vez más compañías se están moviendo hacia la práctica de las dos disciplinas juntas, pidiendo a los ejecutivos que colaboren en las prácticas de BC y DR en lugar de trabajar de forma aislada. Esto llevó a combinar los dos términos en uno solo, BCDR, pero el significado esencial de las dos prácticas permanece sin cambios.

Independientemente de cómo elija abordar el desarrollo de BCDR en su organización, vale la pena destacar cuán rápido está creciendo el campo en todo el mundo. A medida que los resultados de un BCDR incorrecto, como la pérdida de datos y el tiempo de inactividad, se vuelven cada vez más costosos, muchas compañías están aumentando sus inversiones existentes. El año pasado, las compañías de todo el mundo estaban preparadas para gastar 219 mil millones de dólares en ciberseguridad y soluciones, un aumento del 12% respecto al año anterior , según un informe reciente de International Data Corporation (IDC) (enlace externo a ibm.com).

¿Por qué son importantes los planes de continuidad de negocio y de recuperación ante desastres?

Los planes de continuidad de negocio (BCP) y los planes de recuperación ante desastres (DRP) ayudan a las organizaciones a prepararse para una amplia gama de incidentes no planeados. Cuando se despliega de manera efectiva, un buen plan de DR puede ayudar a los stakeholders a comprender mejor los riesgos para las funciones comerciales regulares que puede representar una amenaza en específico. Las compañías que no invierten en recuperación ante desastres y continuidad de negocio (BCDR) tienen más probabilidades de experimentar pérdida de datos, tiempo de inactividad, sanciones financieras y daños a la reputación debido a incidentes no planeados.

Estos son algunos de los beneficios que pueden esperar las compañías que invierten en planes de continuidad de negocio y recuperación ante desastres:

  • Reducción del tiempo de inactividad: cuando una catástrofe interrumpe las operaciones comerciales normales, a las compañías les puede costar cientos de millones de dólares reponerse y volver a operar. Los ciberataques de gran repercusión son especialmente perjudiciales, ya que a menudo atraen una atención no deseada y provocan la huida de inversionista y clientes hacia competidores que anuncian tiempos de inactividad más cortos. Implementar un plan estable de BCDR puede acortar los plazos de recuperación, independientemente del tipo de desastre al que se enfrente.
  • Menor riesgo financiero: según el reciente Informe sobre el costo de la filtración de datos de IBM, el costo promedio de una filtración de datos fue de USD 4.45 millones en 2023, lo que constituye un aumento del 15% desde 2020. Las compañías con planes de continuidad de negocio estables demostraron que pueden reducir esos costos significativamente al acortar los tiempos de inactividad y aumentar la confianza de los clientes e inversionistas.
  • Reducción de sanciones: las filtraciones de datos pueden dar lugar a grandes sanciones cuando se filtra información privada de los clientes. Las compañías que operan en la esfera de la atención médica y las finanzas personales corren un mayor riesgo debido a la confidencialidad de los datos que manejan. Contar con una estrategia de continuidad de negocio estable es imprescindible para las compañías que operan en estos sectores, pues les ayuda a mantener relativamente bajo el riesgo de fuertes sanciones financieras.
Cómo elaborar un plan de recuperación ante desastres y continuidad de negocio

La planeación de la continuidad de negocio y recuperación ante desastres (BCDR) es más eficaz cuando las compañías adoptan un enfoque separado pero coordinado. Aunque los planes de continuidad de negocio (BCP) y los planes de recuperación ante desastres (DRP) son similares, existen diferencias importantes que hacen ventajoso desarrollarlos por separado:

  • Los BCP sólidos se centran en las tácticas para mantener las operaciones normales en funcionamiento antes, durante e inmediatamente después de un desastre. 
  • Los DRP tienden a ser más reactivos, describiendo formas de responder ante un incidente y hacer que todo vuelva a funcionar sin problemas.

Antes de profundizar en cómo crear BCP y DRP eficaces, veamos un par de términos que son relevantes para ambos:

  • Objetivo de tiempo de recuperación (RTO): el RTO se refiere a la cantidad de tiempo que lleva restaurar los procesos comerciales luego de un incidente no planeado. Establecer un RTO razonable es una de las primeras cosas que las compañías deben hacer cuando crean un BCP o un DRP. 
  • Objetivo de punto de recuperación (RPO): el objetivo de punto de recuperación (RPO) de su negocio es la cantidad de datos que puede permitirse perder en un desastre y aún así recuperarse. Dado que la protección de datos es una capacidad central de muchas empresas modernas, algunas copian constantemente los datos a un centro de datos remoto para garantizar la continuidad en caso de una filtración masiva. Otros establecen un RPO tolerable de unos minutos (o incluso horas) para que los datos del negocio se recuperen de un sistema de backup y saben que podrán recuperarse de lo que se haya perdido durante ese tiempo.
Cómo crear un plan de continuidad de negocio (BCP)

Si bien cada compañía tendrá requisitos ligeramente diferentes cuando se trata de planear la continuidad de negocio, hay cuatro pasos ampliamente empleados que producen resultados estables independientemente del tamaño o la industria.

1. Ejecutar un análisis de impacto en el negocio 

El análisis de impacto en el negocio (BIA) ayuda a las organizaciones a comprender mejor las diversas amenazas a las que se enfrentan. Un BIA fuerte incluye la creación de descripciones estables de todas las amenazas potenciales y cualquier vulnerabilidad que puedan exponer. Además, el BIA estima la probabilidad de cada evento para que la organización pueda priorizarlos en consecuencia.

2. Crear posibles respuestas

Para cada amenaza que identifique en su BIA, necesitará desarrollar una respuesta para su negocio. Las diferentes amenazas requieren diferentes estrategias, por lo que para cada desastre que pueda enfrentar, es bueno crear un plan detallado sobre cómo podría recuperarse.

3. Asignar roles y responsabilidades

El siguiente paso es averiguar qué se requiere de todos los afiliados a su equipo de recuperación ante desastres en caso de un desastre. Este paso debe documentar las expectativas y considerar cómo se comunicarán las personas durante un incidente no planeado. Recuerde, muchas amenazas cierran capacidades de comunicación clave, como redes celulares y Wi-Fi, por lo que es aconsejable contar con procedimientos de respaldo de comunicación en los que pueda confiar.

4. Ensaye y revise su plan

Para cada amenaza para la que se preparó, deberá practicar y perfeccionar constantemente los planes de BCDR hasta que funcionen sin problemas. Ensaye un escenario lo más realista posible sin poner a nadie en riesgo real para que los miembros del equipo puedan desarrollar confianza y descubrir cómo es probable que se desempeñen en caso de una interrupción de la continuidad de negocio.

Cómo crear un plan de recuperación ante desastres (DRP)

Al igual que los BCP, los DRP identifican roles y responsabilidades clave y deben probarse y perfeccionarse constantemente para ser eficaces. Este es un proceso de cuatro pasos ampliamente empleado para crear DRP.

1. Realizar un análisis de impacto en el negocio

Al igual que su BCP, su DRP comienza con una evaluación cuidadosa de cada amenaza que podría enfrentar su empresa y cuáles podrían ser sus implicaciones. Considere el daño que podría causar cada amenaza potencial y la probabilidad de que interrumpa sus operaciones comerciales diarias. Otras consideraciones podrían incluir la pérdida de ingresos, el tiempo de inactividad, el costo de reparar la reputación (relaciones públicas) y la pérdida de clientes e inversionista debido a la mala prensa.

2. Realice un inventario de sus activos

Los DRP eficaces requieren que sepa exactamente lo que posee su compañía. Realice de manera regular estos inventarios para que pueda identificar fácilmente el hardware, el software, la infraestructura de TI y cualquier otra cosa de la que dependa su organización para funciones comerciales críticas. Puede emplear las siguientes etiquetas para categorizar cada activo y priorizar su protección: crítico, importante y sin importancia.

  • Crítico: etiquete los activos como críticos si depende de ellos para sus operaciones de negocio normales.
  • Importante: asigne esta etiqueta a cualquier cosa que use al menos una vez al día y que, si se interrumpe, afectaría sus operaciones críticas (pero no las impediría por completo).
  • Sin importancia: estos son los activos que posee su compañía pero que se emplean con la frecuencia suficiente como para que no sean esenciales en las operaciones normales.

3. Asignar roles y responsabilidades

Al igual que en su BCP, deberá describir las responsabilidades y cerciorarse de que los afiliados a su equipo tengan lo que necesitan para llevarlas a cabo. Estos son algunos roles y responsabilidades ampliamente empleados que se deben considerar:

  • Informante de incidentes: alguien que mantiene la información de contacto de las partes relevantes y se comunica con los líderes empresariales y los stakeholders cuando ocurren eventos que afectan el negocio.
  • Supervisor de DRP: alguien que se cerciore de que los miembros del equipo realicen las tareas que se les asignaron en caso de un incidente. 
  • Gestor de activos: alguien cuyo trabajo es asegurar y proteger los activos críticos cuando ocurre un desastre. 

4. Ensaye su plan

Al igual que con su BCP, necesitará practicar y actualizar constantemente su DRP para que sea eficaz. Practique de manera regular y actualice sus documentos según cualquier cambio significativo que sea necesario realizar. Por ejemplo, si su compañía adquiere un nuevo activo después de que se formó su DRP, deberá incorporarlo a su plan futuro o no estará protegido cuando ocurra un desastre.

Ejemplos de planes estables de continuidad de negocio y recuperación ante desastres

Ya sea que necesite un plan de continuidad de negocio (BCP), un plan de recuperación ante desastres (DRP), o ambos trabajando juntos o por separado, puede ayudar ver cómo otras compañías implementaron planes para mejorar su preparación. Estos son algunos ejemplos de planes que ayudaron a las compañías con la preparación de BC y DR.

  • Plan de gestión de crisis: un buen plan de gestión de crisis podría ser parte de la planeación de la continuidad de negocio o la recuperación ante desastres. Los planes de gestión de crisis son documentos detallados que describen cómo gestionará una amenaza específica. Proporcionan instrucciones detalladas sobre cómo responderá una organización a un tipo específico de crisis, como un corte de energía, un delito cibernético o un desastre natural; específicamente, cómo lidiarán con las presiones hora a hora y minuto a minuto mientras se desarrolla el evento. Muchos de los pasos, roles y responsabilidades requeridos en la continuidad de negocio y la planeación de recuperación ante desastres son relevantes para los buenos planes de gestión de crisis.
  • Plan de comunicaciones: los planes de comunicaciones se aplican igualmente a los esfuerzos de continuidad de negocio y recuperación ante desastres. Describen cómo abordará específicamente su organización las preocupaciones de relaciones públicas durante un incidente no planeado. Para crear un buen plan de comunicaciones, los líderes empresariales suelen coordinarse con especialistas en comunicaciones para formular sus planes de comunicaciones. Algunos tienen planes específicos para desastres que se consideran probables y graves, por lo que saben exactamente cómo responderán.
  • Plan de recuperación de red: los planes de recuperación de red ayudan a las organizaciones a recuperarse de las interrupciones de los servicios de red, incluido el acceso a Internet, los datos móviles, las redes de área local (LAN) y las redes de área amplia (WAN). Los planes de recuperación de red suelen tener un alcance amplio, ya que se centran en una necesidad básica y esencial, la comunicación, y deben considerarse más del lado de la continuidad de negocio que de la recuperación ante desastres. Dada la importancia de muchos servicios en red para las operaciones comerciales, los planes de recuperación de red se centran en los pasos necesarios para restaurar los servicios de forma rápida y eficaz luego de una interrupción.
  • Plan de recuperación del centro de datos: es más probable que un plan de recuperación del centro de datos se incluya en un BCP que en un DRP debido a su enfoque en la seguridad de los datos y las amenazas a la infraestructura de TI. Algunas amenazas comunes para la copia de seguridad de datos incluyen personal sobrecargado, ataques cibernéticos, cortes de energía y dificultad para seguir los requisitos de cumplimiento. 
  • Plan de recuperación virtualizado: al igual que un plan de centro de datos, es más probable que un plan de recuperación virtualizado sea parte de un BCP que de un DRP debido al enfoque de un BCP en los recursos de TI y los datos. Los planes de recuperación virtualizados se basan en instancias de virtual machines (VM) que pueden comenzar a funcionar en un par de minutos luego de una interrupción. Las máquinas virtuales son representaciones/emulaciones de computadoras físicas que brindan recuperación de aplicaciones críticas a través de alta disponibilidad (HA), o la capacidad de un sistema de operar continuamente sin fallar.
Soluciones de continuidad de negocio y recuperación ante desastres

Incluso una interrupción menor puede poner en riesgo su negocio. IBM tiene una amplia gama de planes de contingencia y soluciones de recuperación ante desastres para ayudar a su compañía a prepararse para enfrentar diversas amenazas, incluidas capacidades de copia de seguridad en la nube y recuperación ante desastres, así como servicios de seguridad y resiliencia.

Autor
Mesh Flinders Writer