Política de continuidad del negocio
Una política de continuidad del negocio es el conjunto de estándares y directrices que una organización aplica para garantizar la resiliencia y la gestión adecuada de riesgos. Las políticas de continuidad del negocio varían según la organización y la industria y requieren actualizaciones periódicas a medida que evolucionan las tecnologías y cambian los riesgos comerciales.
El objetivo de una política de continuidad empresarial es documentar lo que se necesita para mantener una organización en funcionamiento, tanto en los días hábiles normales, como en los momentos de emergencia. Cuando la política está bien definida y se cumple claramente, la empresa puede establecer expectativas realistas para los procesos de continuidad del negocio y recuperación ante desastres (BC/DR). Esta política también se puede utilizar para determinar qué salió mal para poder abordar los problemas. En última instancia, se crea y aplica una política de continuidad empresarial a discreción de la organización, siguiendo sus requisitos de cumplimiento y de la industria.
Si bien las políticas de continuidad del negocio son diferentes para cada empresa, todas incluyen componentes básicos. Los componentes clave de la política de continuidad del negocio incluyen personal, métricas y requisitos estándar.
La dotación de personal interno en una política de continuidad del negocio debe describir las funciones y responsabilidades de los jefes de departamento, los enlaces de gestión empresarial y los miembros del equipo de BC/DR. También puede incluir personal externo como proveedores, partes interesadas y clientes. Hacer un seguimiento de todos los involucrados y afectados por la política de continuidad del negocio es clave para garantizar el cumplimiento.
Las métricas comunes en una política pueden incluir indicadores clave de rendimiento (KPI) e indicadores clave de riesgo (KRI). Los ejecutivos y gerentes corporativos utilizan los KPI para analizar funciones y procesos cruciales necesarios para cumplir con las metas y los objetivos de desempeño. Los KRI miden la probabilidad de que un evento afecte a la empresa. Estos pueden ayudar a planificar la gestión de riesgos.
La Organización Internacional de Normalización y la Institución Británica de Normalización emiten estándares comunes de continuidad empresarial. Estos estándares se actualizan ocasionalmente, por lo que se deben monitorear los cambios.
Consideraciones de política importantes
Lo principal a considerar al diseñar una política de continuidad del negocio son los riesgos particulares que probablemente enfrentará una organización. ¿Está la empresa en un área que frecuentemente tiene huracanes u otros eventos climáticos importantes? ¿Existe algún elemento geopolítico que pueda traer fracasos? ¿Ha habido problemas con ransomware u otro malware en el pasado que requieran especial atención? Las organizaciones deben tener en cuenta todos estos factores al crear una política de continuidad empresarial.
Una evaluación de riesgos es un método confiable para descubrir amenazas potenciales y determinar su probabilidad. Una evaluación de riesgos identifica peligros potenciales y proporciona formas de reducir su impacto en el negocio. De manera similar a una política de continuidad del negocio, las evaluaciones de riesgos difieren, pero siguen los pasos generales:
- Identificar los peligros;
- Determinar qué o quién podría resultar dañado;
- Evaluar los riesgos y crear medidas de control;
- Registrar los hallazgos;
- Revisar y actualizar la evaluación.
Junto con una evaluación de riesgos, la realización de un análisis de impacto empresarial (BIA) puede ayudar a formar la columna vertebral de una política de continuidad empresarial. Un BIA determina los efectos de un desastre potencial en una organización al encontrar vulnerabilidades existentes. Aunque es similar a una evaluación de riesgos, un BIA a menudo se lleva a cabo primero y se enfoca principalmente en el impacto comercial y en el cumplimiento del tiempo de recuperación y los objetivos del punto de recuperación.
La supervisión y verificación de la política de continuidad del negocio es otro elemento a tener en cuenta, si existen requisitos legales que deban seguirse. El liderazgo, como un ejecutivo de la empresa, puede designarse como enlace con el equipo de BC/DR, coordinando los esfuerzos para resolver cualquier problema de cumplimiento. El propio equipo de BC/DR puede estar a cargo de verificar el cumplimiento de las políticas, junto con los departamentos internos necesarios. Además de establecer los procedimientos y la dotación de personal, el equipo de BC/DR debe verificar periódicamente el cumplimiento de las políticas.
Si se encuentra un incumplimiento de acuerdo con la política, se puede traer a la gerencia corporativa para abordarlo.
Cuándo traer a un proveedor
Si bien la creación de una política de continuidad empresarial es una decisión de la empresa, echar un vistazo a los proveedores de BC/DR y los servicios que brindan puede ayudar en el proceso. Los proveedores de BC/DR administrados pueden tomar parte del trabajo de las manos de una organización y ayudar a facilitar las pruebas de una estrategia de continuidad empresarial.
Con la mayor disponibilidad de la nube, la recuperación ante desastres como servicio (DRaaS) es una opción popular de BC/DR. DRaaS viene en todas las formas y tamaños, lo que lo convierte en una opción atractiva al momento de decidirse por un plan BC/DR. Capaz de manejar desde problemas menores hasta desastres mayores, DRaaS es un método bastante universal para implementar.
Los principales proveedores de DRaaS incluyen Acronis, Amazon Web Services, Axcient, IBM, Unitrends, VMware y Zerto.
Política de continuidad empresarial versus plan de continuidad empresarial
Una política de continuidad empresarial y un plan de continuidad empresarial (BCP) tienen mucho en común, ya que abordan todos los requisitos y preparativos únicos para que una organización mantenga la continuidad. Sin embargo, ambos tienen diferentes propósitos dentro de la organización. Si bien la política describe los estándares que deben seguirse y los puntos de referencia que deben cumplirse, un plan traza de principio a fin cómo la organización superará un evento. La información de la política de continuidad del negocio debe incluirse en el plan de continuidad del negocio, pero como una entidad separada.