Planeación de la continuidad de negocios o BCP
La continuidad del negocio (Business Continuity o BC) es la capacidad de una organización para mantener las funciones esenciales durante y después de que ha ocurrido un desastre. La planificación de la continuidad del negocio (BCP) establece procesos y procedimientos de gestión de riesgos que tienen como objetivo evitar interrupciones en los servicios de misión crítica y restablecer la función completa de la organización de la forma más rápida y sencilla posible.
El requisito de continuidad empresarial más básico es mantener las funciones esenciales en funcionamiento durante un desastre y recuperarse con el menor tiempo de inactividad posible. Un plan de continuidad empresarial considera varios eventos impredecibles, como desastres naturales, incendios, brotes de enfermedades, ataques cibernéticos y otras amenazas externas.
La continuidad del negocio es importante para organizaciones de cualquier tamaño, pero puede que no sea práctico para las empresas más grandes mantener todas las funciones durante la duración de un desastre. Según muchos expertos, el primer paso en la planificación de la continuidad del negocio es decidir qué funciones son esenciales y asignar el presupuesto disponible en consecuencia. Una vez que se han identificado los componentes cruciales, los administradores pueden implementar mecanismos de conmutación por error.
Las tecnologías como la duplicación de discos permiten a una organización mantener copias actualizadas de datos en ubicaciones geográficamente dispersas, no solo en el centro de datos principal. Esto permite que el acceso a los datos continúe sin interrupciones si una ubicación está deshabilitada y protege contra la pérdida de datos.
¿Por qué es importante la continuidad del negocio?
En un momento en el que el tiempo de inactividad es inaceptable, la continuidad del negocio es fundamental. El tiempo de inactividad proviene de una variedad de fuentes. Algunas amenazas, como los ciberataques y el clima extremo, parecen estar empeorando. Es importante contar con un plan de continuidad comercial que considere las posibles interrupciones de las operaciones.
El plan debe permitir que la organización siga funcionando al menos a un nivel mínimo durante una crisis. La continuidad del negocio ayuda a la organización a mantener la resiliencia para responder rápidamente a una interrupción. La sólida continuidad del negocio ahorra dinero, tiempo y reputación de la empresa. Una interrupción prolongada corre el riesgo de pérdidas financieras, personales y de reputación.
La continuidad del negocio requiere que una organización se mire a sí misma, analice las áreas potenciales de debilidad y recopile información clave —como listas de contactos y diagramas técnicos de sistemas— que puede ser útil fuera de situaciones de desastre. Al emprender el proceso de planificación de la continuidad del negocio, una organización puede mejorar su comunicación, tecnología y resiliencia.
La continuidad del negocio podría incluso ser un requisito por razones legales o de cumplimiento. Especialmente en una era de mayor regulación, es importante comprender qué regulaciones afectan a una organización determinada.
¿Qué incluye la continuidad del negocio?
La continuidad del negocio es una forma proactiva de garantizar que las operaciones de misión crítica continúen durante una interrupción. Un plan integral incluye información de contacto, pasos sobre qué hacer ante una variedad de incidentes y una guía sobre cuándo usar el documento.
La continuidad del negocio presenta pautas claras sobre lo que debe hacer una organización para mantener las operaciones. Si llega el momento de responder, no debería haber dudas sobre cómo avanzar con los procesos comerciales. La empresa, los clientes y los empleados están potencialmente en juego.
La continuidad empresarial adecuada incluye diferentes niveles de respuesta. No todo es fundamental para la misión, por lo que es importante establecer qué es lo más vital para seguir funcionando y qué podría volver a estar en línea en el futuro. Es fundamental ser honesto sobre los objetivos del tiempo de recuperación (RTO) y los objetivos del punto de recuperación (RPO).
El proceso incluye a toda la organización, desde la dirección ejecutiva hacia abajo. Aunque la TI puede impulsar la continuidad del negocio, es fundamental conseguir la aceptación de la dirección y comunicar la información clave a toda la organización. Otra área importante de colaboración es con el equipo de seguridad —aunque los dos grupos a menudo trabajan por separado, una organización puede ganar mucho al compartir información entre estos departamentos. Como mínimo, todos deberían conocer los pasos básicos sobre cómo la organización planea responder.
Tres componentes clave de un plan de continuidad empresarial
Un plan de continuidad empresarial tiene tres elementos clave: resiliencia, recuperación y contingencia.
Una organización puede aumentar la resiliencia mediante el diseño de funciones e infraestructuras críticas con diversas posibilidades de desastres en mente; esto puede incluir rotaciones de personal, redundancia de datos y mantenimiento de un excedente de capacidad. Asegurar la resistencia frente a diferentes escenarios también puede ayudar a las organizaciones a mantener los servicios esenciales en el lugar y fuera del sitio sin interrupciones.
La recuperación rápida para restaurar las funciones comerciales después de un desastre es crucial. Establecer objetivos de tiempo de recuperación para diferentes sistemas, redes o aplicaciones puede ayudar a priorizar qué elementos deben recuperarse primero. Otras estrategias de recuperación incluyen inventarios de recursos, acuerdos con terceros para asumir la actividad de la empresa y el uso de espacios convertidos para funciones de misión crítica.
Un plan de contingencia tiene procedimientos establecidos para una variedad de escenarios externos y puede incluir una cadena de mando que distribuya las responsabilidades dentro de la organización. Estas responsabilidades pueden incluir reemplazo de hardware, arrendamiento de espacios de oficina de emergencia, evaluación de daños y contratación de proveedores externos para asistencia.
Estándares de continuidad empresarial
La Tabla 1 enumera los estándares de la serie ISO 223XX que se aplican a la continuidad del negocio y actividades relacionadas. También vale la pena echar un vistazo a las normas ISO 22398 y 22399.
La Tabla 2 enumera las Directrices de buenas prácticas del Business Continuity Institute. Las pautas proporcionan una base integral para comprender el proceso de continuidad del negocio y se corresponden estrechamente con la norma ISO 22301.
La Tabla 3 proporciona una lista parcial de estándares, regulaciones y buenas prácticas desarrolladas en los EE.UU. por varias organizaciones diferentes, como ASIS International, la Asociación Nacional de Protección contra Incendios, el Consejo de Examen de Instituciones Financieras Federales, la Asociación de Control y Auditoría de Sistemas de Información (ISACA), la Autoridad Reguladora de la Industria Financiera (FIRA), la Agencia Federal para el Manejo de Emergencias y el Instituto Nacional de Estándares y Tecnología (NIST).
Continuidad empresarial frente a recuperación ante desastres
Al igual que un plan de continuidad empresarial, la planificación de la recuperación ante desastres especifica las estrategias planificadas de una organización para los procedimientos posteriores a una falla. Sin embargo, un plan de recuperación ante desastres es solo un subconjunto de la planificación de la continuidad del negocio.
Los planes de recuperación ante desastres se centran principalmente en los datos, concentrándose en almacenar datos de manera que se pueda acceder a ellos más fácilmente después de un desastre. La continuidad del negocio tiene esto en cuenta, pero también se centra en la gestión de riesgos, la supervisión y la planificación que una organización necesita para mantenerse operativa durante una interrupción.
Desarrollo de la continuidad del negocio
La continuidad del negocio comienza con el inicio del proyecto de planificación. El análisis de impacto empresarial (BIA) y la evaluación de riesgos son pasos esenciales en la recopilación de información para el plan.
La realización de un BIA puede revelar posibles debilidades, así como las consecuencias de un desastre en varios departamentos. Un reporte BIA informa a una organización sobre las funciones y sistemas más cruciales para priorizar en un plan de continuidad del negocio.
Una evaluación de riesgos identifica peligros potenciales para una organización, como desastres naturales, ciberataques o fallas tecnológicas. Los riesgos pueden afectar al personal, los clientes, las operaciones del edificio y la reputación de la empresa. La evaluación también detalla qué o a quién podría dañar un riesgo, así como la probabilidad de los riesgos.
El BIA y la evaluación de riesgos van de la mano. El BIA proporciona detalles sobre los efectos potenciales de las posibles interrupciones descritas en la evaluación de riesgos.
Gestión de la continuidad del negocio
Es importante designar quién administrará la continuidad del negocio. Podría ser una persona, si es una pequeña empresa, o podría ser un equipo completo para una organización más grande. El software de gestión de la continuidad del negocio también es una opción. El software —ya sea en las instalaciones o en la nube— ayuda a realizar BIAs, crear y actualizar planes y detectar áreas de riesgo.
La continuidad empresarial es un proceso en evolución. Como tal, el plan de continuidad del negocio de una organización no debería quedarse en un estante. La organización debe comunicar su contenido al mayor número de personas posible. La implementación de la continuidad del negocio no es solo para tiempos de crisis; la organización debe tener ejercicios de capacitación, para que los empleados sepan lo que harán en caso de una interrupción real.
Las pruebas de continuidad del negocio son fundamentales para su éxito. Es difícil saber si un plan va a funcionar si no se ha probado. Una prueba de continuidad del negocio puede ser tan simple como un ejercicio de mesa, en el que el personal discute lo que sucederá en caso de emergencia. Las pruebas más rigurosas incluyen una simulación de emergencia completa. Una organización puede planificar la prueba con anticipación o realizarla sin previo aviso para imitar mejor una crisis.
Una vez que la organización completa una prueba, debe revisar cómo fue y actualizar el plan en consecuencia. Es probable que algunas partes del plan salgan bien, pero es posible que otras acciones deban ajustarse. Un cronograma regular de pruebas es útil, especialmente si la empresa cambia sus operaciones y personal con frecuencia. La continuidad integral del negocio se somete a pruebas, revisiones y actualizaciones continuas.
Instituto de Continuidad de Negocios
El Business Continuity Institute (BCI) es una organización profesional global que brinda educación, investigación, acreditación profesional, certificación, oportunidades de trabajo en red, liderazgo y orientación sobre la continuidad del negocio y la resiliencia organizacional.
El BCI, que tiene su sede en el Reino Unido, se estableció en 1994 y cuenta con unos 8.000 miembros en más de 100 países, en los sectores público y privado. Los profesionales de la continuidad del negocio y los interesados en el campo pueden utilizar los productos y servicios disponibles en el BCI.
Los objetivos y el trabajo de BCI incluyen elevar los estándares en la continuidad del negocio, compartir las mejores prácticas de continuidad del negocio, capacitar y certificar a los profesionales de BC, elevar el valor de la profesión de BC y desarrollar el caso comercial para la continuidad del negocio.
Los muchos recursos publicados del instituto incluyen sus guías de buenas prácticas, que ofrecen orientación para identificar las actividades de continuidad del negocio que pueden respaldar la planificación estratégica.
La membresía profesional en el BCI transmite un estado reconocido internacionalmente —la certificación demuestra la competencia de un miembro en la gestión de la continuidad del negocio.
Los Capítulos BCI se han establecido en países o regiones donde existe una gran comunidad de miembros. Los Capítulos, que incluyen a Estados Unidos, Japón e India, tienen funcionarios elegidos localmente que representan al BCI en su región.