Continuidad de negocio

Raramente recibimos aviso anticipado de que vamos a ser víctimas de un ataque. Sin embargo, incluso con algo de tiempo de espera, varias cosas pueden salir mal. Cada incidente es único y se desarrolla de manera inesperada.

Es para esos casos donde es necesario un plan de continuidad de negocio. Para darle a tu organización la mejor oportunidad de éxito durante un desastre, debes disponer de un plan actual y probado en manos de todo el personal responsable de llevar a cabo cualquier parte de ese plan.

La falta de un plan no solo significa que tu organización tardará más de lo necesario en recuperarse de un evento o incidente. Podrías cerrar el negocio para siempre.

Aquí vamos a explicar en qué consiste un plan de continuidad de negocio y cómo elaborarlo.

¿Qué es un Plan de Continuidad de Negocio?

Un Plan de Continuidad de negocio es un documento que describe cómo una empresa continuará operando durante una interrupción no planificada en el servicio. Es más completo que un plan de recuperación ante desastres y contiene contingencias para procesos comerciales, activos, recursos humanos y socios comerciales, todos los aspectos del negocio que podrían verse afectados.

Los planes generalmente contienen una lista de verificación que incluye suministros y equipos, copias de seguridad de datos y ubicaciones de sitios de copias de seguridad. También pueden identificar a los administradores del plan e incluir información de contacto para el personal de respuesta a emergencias, el personal clave y los proveedores del sitio de respaldo.

Estos planes pueden proporcionar estrategias detalladas sobre cómo se pueden mantener las operaciones comerciales para interrupciones tanto a corto como a largo plazo.

Cada segundo cuenta en la recuperación rápida de la actividad de la empresa.

Hay tres aspectos principales en un plan de continuidad del negocio para aplicaciones y procesos clave:

  • Alta disponibilidad : brinda la capacidad y los procesos para que una empresa tenga acceso a las aplicaciones independientemente de los fallos locales. Estos fallos pueden estar en los procesos comerciales, en las instalaciones físicas o en el hardware o software de TI.
  • Operaciones continuas : protege la capacidad de mantener las cosas en funcionamiento durante una interrupción, así como durante interrupciones planificadas, como copias de seguridad programadas o mantenimiento planificado.
  • Recuperación ante desastres : establece una forma de recuperar un centro de datos en un sitio diferente si un desastre destruye el sitio primario o lo deja inoperable.

Evolución

La planificación de la continuidad del negocio surgió de la planificación de recuperación ante desastres a principios de la década de 1970. Las organizaciones financieras, como bancos y compañías de seguros, invirtieron en sitios alternativos. Las cintas de respaldo se almacenaron en sitios protegidos lejos de los ordenadores.

Los esfuerzos de recuperación casi siempre fueron provocados por un incendio, inundación, tormenta u otra devastación física. La década de 1980 vio el crecimiento de sitios de recuperación comercial que ofrecían servicios informáticos de forma compartida, pero el énfasis todavía estaba solo en la recuperación de TI.

La década de 1990 trajo un fuerte aumento en la globalización corporativa y la omnipresencia del acceso a datos. Las empresas pensaron más allá de la recuperación ante desastres y de manera más integral sobre todo el proceso de continuidad del negocio. Se dieron cuenta de que sin un plan de continuidad de negocio exhaustivo podrían perder clientes y su ventaja competitiva.

Al mismo tiempo, la planificación de la continuidad del negocio se estaba volviendo más compleja porque tenía que considerar arquitecturas de aplicaciones como aplicaciones distribuidas, procesamiento distribuido, datos distribuidos y entornos informáticos híbridos.

Las organizaciones de hoy son cada vez más conscientes de su vulnerabilidad a los ataques cibernéticos que pueden paralizar una empresa o destruir permanentemente sus sistemas de TI.

Los planes de continuidad del negocio tienen que incluir una estrategia de resiliencia cibernética que puede ayudar a una empresa a soportar incidentes cibernéticos disruptivos. Los planes generalmente incluyen formas de defenderse contra esos riesgos, proteger aplicaciones y datos críticos y recuperarse de una violación o fallo de una manera controlada y medible.

Importancia

Es importante contar con un plan de continuidad del negocio para identificar y abordar la sincronización de resiliencia entre los procesos del negocio, las aplicaciones y la infraestructura de TI. Un fallo de infraestructura puede costar 100.000 dólares por hora y un fallo crítico de la aplicación puede costar de 500.000 a 1 millón de dólares por hora.

Para resistir y prosperar durante estas amenazas, las empresas se han dado cuenta de que necesitan hacer más que crear una infraestructura confiable que respalde el crecimiento y proteja los datos.

Las empresas ahora están desarrollando planes holísticos de continuidad comercial que pueden:

  • mantener su negocio en funcionamiento,
  • proteger los datos,
  • proteger la marca,
  • retener a los clientes y,
  • ayudar a reducir los costes operativos totales a largo plazo.

Contar con un plan de continuidad del negocio puede minimizar el tiempo de inactividad y lograr mejoras sostenibles en la continuidad del negocio, la recuperación de desastres de TI, las capacidades corporativas de gestión de crisis y el cumplimiento normativo.

Sin embargo, desarrollar un plan integral de continuidad del negocio se ha vuelto más difícil porque los sistemas están cada vez más integrados y distribuidos en entornos de TI híbridos, creando vulnerabilidades potenciales.

Cuando un eslabón de la cadena se rompe o es atacado, el impacto puede afectar a toda la empresa. Una organización puede enfrentar la pérdida de ingresos y la erosión de la confianza del cliente si no logra mantener la capacidad de recuperación del negocio mientras se adapta y responde rápidamente a los riesgos y oportunidades.

Elaboración del Plan de continuidad de negocio – Etapas

Un Plan de continuidad de negocio generalmente incluye cinco fases:

  1. Gobierno del Plan
  2. Análisis de impacto empresarial
  3. Planes, medidas y arreglos para la continuidad del negocio.
  4. Procedimientos de preparación
  5. Técnicas de garantía de calidad (ejercicios, mantenimiento y auditoría).

Analicemos cada una de ellas.

1. Gobierno del Plan de continuidad de negocio

Un Plan de continuidad de negocio contiene una estructura de gobierno a menudo en forma de un comité que garantizará los compromisos de la alta dirección y definirá las funciones y responsabilidades de la alta dirección.

El comité de alta gerencia del plan es responsable de la supervisión, iniciación, planificación, aprobación, prueba y auditoría del mismo. También aplica el plan, organiza las actividades, supervisa la elaboración de ese plan y controla los resultados.

Las funciones de los altos directivos o Comité son:

  • aprobar la estructura de gobierno;
  • aclarar sus roles y los de los participantes en el programa;
  • supervisar la creación de una lista de comités, grupos de trabajo y equipos apropiados para desarrollar y ejecutar el plan;
  • proporcionar dirección estratégica y comunicar mensajes esenciales;
  • aprobar los resultados del análisis de impacto;
  • revisar los servicios y productos críticos que se han identificado;
  • aprobar los planes y arreglos de continuidad;
  • supervisar las actividades de aseguramiento de la calidad; y
  • resolver intereses y prioridades en conflicto.

Este Comité normalmente está compuesto por los siguientes miembros:

  • El patrocinador ejecutivo
  • El coordinador
  • El Oficial de Seguridad
  • El Director de Información (CIO)
  • Los representantes de la unidad de negocios

2. Análisis de Impacto del Negocio

Los propósitos de este análisis de impacto son los siguientes:

Identificar el mandato y los aspectos críticos de una organización

Este paso determina qué bienes o servicios se deben entregar. Se puede obtener información de la declaración de misión de la organización y los requisitos legales para la entrega de servicios y productos específicos.

Priorizar servicios o productos críticos

Una vez que se identifican los servicios o productos críticos, deben priorizarse según los niveles mínimos de entrega aceptables y el período máximo de tiempo que el servicio puede estar inactivo antes de que se produzcan daños graves en la organización.

Para determinar la clasificación de los servicios críticos, se requiere información para determinar el impacto de una interrupción en la prestación de servicios, pérdida de ingresos, gastos adicionales y pérdidas intangibles.

Identificar los impactos de las interrupciones

El impacto de una interrupción en un servicio crítico o producto comercial determina cuánto tiempo podría funcionar la organización sin el servicio o producto. Y cuánto tiempo los clientes aceptarían su falta de disponibilidad. Será necesario determinar el período de tiempo en que un servicio o producto podría no estar disponible antes de que se sienta un impacto severo.

Identificar áreas de pérdida potencial de ingresos

Para determinar la pérdida de ingresos, es necesario determinar qué procesos y funciones que respaldan la prestación de servicios o productos están involucrados en la creación de ingresos.

Si no se realizan estos procesos y funciones, ¿se pierden ingresos? ¿Cuánto cuesta?

En caso de no poder proporcionar servicios o bienes, ¿la organización perdería ingresos? Si es así, ¿cuántos ingresos y por cuánto tiempo?

Si los clientes no pueden acceder a ciertos servicios o productos, ¿irían a otro proveedor, lo que generaría una mayor pérdida de ingresos?

Identificar gastos adicionales

Si una función o proceso empresarial no funciona, ¿cuánto tiempo pasaría antes de que los gastos adicionales comiencen a sumar?

¿Cuánto tiempo podría no estar disponible la función antes de tener que contratar personal adicional?

¿Serían un problema las multas o sanciones por incumplimiento de responsabilidades legales, acuerdos o regulaciones gubernamentales? De ser así, ¿cuáles son las sanciones?

Identificar pérdidas intangibles

Se requieren estimaciones para determinar el costo aproximado de la pérdida de confianza de los consumidores e inversores, daños a la reputación, pérdida de competitividad, reducción de la participación en el mercado y violación de las leyes y reglamentos.

La pérdida de imagen o reputación es especialmente importante para las instituciones públicas, ya que a menudo se percibe que tienen estándares más altos.

Requisitos de seguro

Dado que pocas organizaciones pueden pagar el coste total de una recuperación, tener un seguro asegura que la recuperación se financie total o parcialmente.

Al considerar las opciones de seguro, decide qué amenazas cubrir. Es importante decidir qué necesita cobertura de seguro y el nivel de cobertura correspondiente.

Documenta el nivel de cobertura de tu política institucional y examina la política para áreas no aseguradas y niveles de cobertura no especificados. Es posible que el seguro de propiedad no cubra todos los peligros.

Asegúrate de que la aseguradora comprenda el tiempo de recuperación total esperado al documentar las pérdidas. La carga de la prueba al hacer reclamaciones recae en el titular de la póliza y requiere documentación válida y precisa.

Incluye un experto o un equipo de seguros cuando desarrolles el plan de respuesta.

Clasificación

Una vez que se ha recopilado y reunido toda la información relevante, se pueden generar clasificaciones para los servicios o productos comerciales críticos.

La clasificación se basa en la pérdida potencial de ingresos, el tiempo de recuperación y la gravedad del impacto que causaría una interrupción. Luego se determinan los niveles mínimos de servicio y los tiempos de inactividad máximos permitidos.

Identificar dependencias

Es importante identificar las dependencias internas y externas de los servicios o productos críticos, ya que la prestación del servicio se basa en esas dependencias.

Las dependencias internas incluyen la disponibilidad de los empleados, los activos corporativos como equipos, instalaciones, aplicaciones informáticas, datos, herramientas, vehículos y servicios de soporte como finanzas, recursos humanos, seguridad y soporte de tecnología de la información.

Las dependencias externas incluyen proveedores, cualquier activo corporativo externo, como equipos, instalaciones, aplicaciones informáticas, datos, herramientas, vehículos y cualquier servicio de soporte externo, como administración de instalaciones, servicios públicos, comunicaciones, transporte, instituciones financieras, proveedores de seguros, servicios gubernamentales, servicios legales. servicios y servicios de salud y seguridad.

3. Planes de continuidad del negocio

En esta etapa se establecerán los planes y actuaciones minuciosas de respuesta y recuperación para asegurar la continuidad del negocio.

Aquí se definen las maneras y sistemas para garantizar que los productos y servicios críticos sean entregados con un nivel de servicio mínimo dentro de plazos de inactividad aceptables. Se deben hacer planes de continuidad para cada servicio o producto crítico.

Mitigar amenazas y riesgos

Las amenazas y los riesgos se identifican en una evaluación completa de amenazas y riesgos. La moderación del riesgo es un proceso continuo y debe realizarse incluso cuando el plan no está activado.

Por ejemplo, si una organización requiere electricidad para la producción, el riesgo de un corte de energía a corto plazo puede mitigarse instalando generadores de reserva.

Otro ejemplo sería una empresa dependiente de las telecomunicaciones internas y externas para desarrollar sus funciones adecuadamente. Los fallos de comunicación se pueden minimizar utilizando redes de comunicaciones alternativas o instalando sistemas redundantes.

Analizar las capacidades de recuperación actuales

Considera las soluciones de recuperación que la organización ya tiene establecidas y su aplicabilidad continua. Inclúyelas en el plan si son relevantes.

Crea planes de continuidad

Los planes para la continuidad de servicios y productos se basan en los resultados del análisis de impacto. Asegúrate de que se hagan planes para aumentar los niveles de gravedad del impacto de una interrupción.

Por ejemplo, si se producen inundaciones limitadas al lado del edificio de una organización, se pueden usar bolsas de arena en respuesta. Si el agua sube al primer piso, el trabajo podría trasladarse a otro edificio de la empresa o superior en el mismo edificio. Si la inundación es severa, la reubicación de partes críticas del negocio a otra área hasta que la inundación disminuya puede ser la mejor opción.

Otro ejemplo sería una empresa que utiliza formularios en papel para realizar un seguimiento del inventario hasta que se reparen los ordenadores o los servidores, o se restablezca el servicio eléctrico. Para otras instituciones, como las grandes empresas financieras, cualquier interrupción de los ordenadores puede ser inaceptable, y se debe utilizar un sitio alternativo y tecnología de replicación de datos.

Deben considerarse los riesgos y beneficios de cada opción posible para el plan, teniendo en cuenta el coste, la flexibilidad y los posibles escenarios de interrupción. Para cada servicio o producto crítico, elige las opciones más realistas y efectivas al crear el plan general.

Preparación de respuesta

Es necesario que los equipos guíen y apoyen las operaciones de recuperación y respuesta para que la respuesta a una crisis para la empresa sea adecuada. Los miembros del equipo deben seleccionarse de personal capacitado y experimentado que conozca sus responsabilidades.

La cantidad y el alcance de los equipos variarán según el tamaño, la función y la estructura de la organización, y pueden incluir:

  • Equipos de comando y control que incluyen un equipo de gestión de crisis y un equipo de gestión de respuesta, continuación o recuperación.
  • Equipos orientados a tareas que incluyen un equipo alternativo de coordinación del sitio, equipo de contratación y adquisición, equipo de evaluación de daños y salvamento, equipo de finanzas y contabilidad, equipo de materiales peligrosos, equipo de seguros, equipo de asuntos legales, equipo de comunicaciones alternativas, equipo de equipos mecánicos, Equipo de rango medio, Equipo de notificación, Equipo de red de ordenadores personales, Equipo de relaciones públicas y de medios, Equipo de coordinación de transporte y Equipo de gestión de registros vitales

Los deberes y responsabilidades para cada equipo deben definirse e incluir:

  • identificación de los miembros del equipo y la estructura de autoridad,
  • identificación de las tareas específicas del equipo, los roles y responsabilidades de los miembros,
  • creación de listas de contactos
  • fijación de posibles miembros alternativos.

Para que los equipos funcionen a pesar de la pérdida o disponibilidad de personal, puede ser necesario realizar tareas múltiples y brindar capacitación entre equipos.

Instalaciones alternativas

Si la instalación principal de una organización o los activos, redes y aplicaciones de tecnología de la información se pierden, debe estar disponible una instalación alternativa.

Hay tres tipos de instalaciones alternativas:

  • El sitio frío es una instalación alternativa que no está amueblada y equipada para funcionar. Se deben instalar equipos y muebles adecuados antes de que puedan comenzar las operaciones, y se requiere un tiempo y esfuerzo considerables para hacer que un sitio frío sea completamente operativo. Los sitios fríos son la opción menos costosa.
  • El sitio cálido es una instalación alternativa que se prepara electrónicamente y está casi completamente equipada y equipada para funcionar. Puede estar operativo totalmente en varias horas. Los sitios cálidos son más caros que los sitios fríos.
  • El sitio caliente está totalmente equipado, amueblado y, a menudo, incluso con personal completo. Los sitios activos se pueden activar en minutos o segundos. Esta es la alternativa más cara.

Al considerar el tipo de instalación alternativa, tenga en cuenta todos los factores, incluidas las amenazas y los riesgos, el tiempo de inactividad y el costo máximos permitidos.

Por razones de seguridad, algunas organizaciones emplean sitios alternativos reforzados. Los sitios reforzados contienen características de seguridad que minimizan las interrupciones.

4. Procedimientos de preparación

Formación

Los planes de continuidad del negocio pueden implementarse de manera fluida y efectiva mediante:

  • Información a todos los empleados y al personal informados sobre el contenido del plan y de sus responsabilidades individuales.
  • Tener empleados con responsabilidades directas capacitados para las tareas que deberán realizar, y estar al tanto de las funciones de otros equipos.

Ceremonias

Después del entrenamiento, se deben desarrollar y programar ejercicios para lograr y mantener altos niveles de competencia y preparación. Si bien los ejercicios consumen tiempo y recursos, son el mejor método para validar un plan.

Objetivos

Los objetivos deben ser desafiantes, específicos, medibles, alcanzables, realistas y oportunos.

Alcance

Identifica los departamentos u organizaciones involucradas, el área geográfica y las condiciones de prueba y presentación.

Aspectos y supuestos artificiales

Define qué aspectos del ejercicio son artificiales o asumidos, como la información de fondo, los procedimientos a seguir y la disponibilidad del equipo.

Instrucciones para participantes

Explica que el ejercicio brinda la oportunidad de probar los procedimientos antes de un desastre real.

Ejercicio narrativo

Brinda a los participantes la información de respaldo necesaria, establece el entorno y los prepara para la acción. Es importante incluir factores como el tiempo, la ubicación, el método de descubrimiento y la secuencia de eventos, si los eventos están terminados o aún en progreso, informes de daños iniciales y cualquier condición externa.

Comunicaciones para participantes

Se puede lograr un realismo mejorado al dar a los participantes acceso al personal de contacto de emergencia que comparte el ejercicio. Los mensajes también se pueden pasar a los participantes durante un ejercicio para alterar o crear nuevas condiciones.

Pruebas y evaluación posterior al ejercicio

El ejercicio debe ser monitorizado imparcialmente para determinar si se lograron los objetivos. Se debe evaluar el desempeño de los participantes, incluyendo actitud, decisión, comando, coordinación, comunicación y control.

El informe debe ser breve, pero completo, explicando qué funcionó y qué no funcionó, enfatizando los éxitos y las oportunidades de mejora. Los comentarios de los participantes también deben incorporarse en la evaluación del ejercicio.

5. Técnicas de aseguramiento de la calidad

La revisión del plan debe evaluar la precisión, relevancia y efectividad del mismo. También debería descubrir qué aspectos necesitan mejorarse.

La evaluación continua del plan es esencial para mantener su efectividad. La evaluación puede realizarse mediante una revisión interna o una auditoría externa.

Revisión interna

Se recomienda que las organizaciones revisen su plan de continuidad de negocio:

  • De forma programada (anualmente o semestralmente)
  • Cuando ocurren cambios en el entorno de amenaza
  • Cuando tienen lugar cambios sustanciales en la organización
  • Después de un ejercicio para incorporar hallazgos.

Auditoría externa

Al auditar el plan, los consultores verifican nominalmente:

  • Procedimientos utilizados para determinar servicios y procesos críticos.
  • Metodología, precisión y exhaustividad de los planes de continuidad.

Qué hacer cuando ocurre una interrupción del negocio

Existen tres pasos en caso de producirse una interrupción del negocio.

1. Respuesta

La respuesta a incidentes la puesta en marcha de planes, equipos y medidas.

Las siguientes tareas se realizan durante la fase de respuesta:

  • Administracion de incidentes
  • Gestión de comunicaciones
  • Jefe de operaciones

Administracion de incidentes

La gestión de incidentes incluye las siguientes medidas:

  • notificar a la gerencia, empleados y otras partes interesadas;
  • asumir el control de la situación;
  • identificar el alcance y el alcance del daño;
  • implementar planes;
  • identificar cortes de infraestructura; y
  • Coordinar el apoyo de fuentes internas y externas.

Gestión de comunicaciones

Para seguir en contacto con los medios, los servicios de emergencia y los proveedores, controlar las informaciones y garantizar la seguridad de los empleados, el público y otras partes interesadas afectadas es fundamental gestionar las comunicaciones.

Los requisitos de gestión de comunicaciones pueden requerir la creación de redundancias en los sistemas de comunicaciones y la creación de un plan de comunicaciones para abordar adecuadamente todos los requisitos.

Jefe de operaciones

Puede utilizarse un Centro de Operaciones de Emergencia para coordinar las operaciones en caso de una interrupción. Tener este centro donde la información y los recursos se puedan coordinar, administrar y documentar ayuda a garantizar una respuesta eficaz y eficiente.

2. Continuación

Asegúrate de que todos los servicios o productos críticos urgentes se entreguen continuamente o no se interrumpan por más tiempo del permitido.

3. Recuperación y restauración

El objetivo de las operaciones de recuperación y restauración es recuperar la instalación u operación y mantener el servicio crítico o la entrega del producto.

La recuperación y restauración incluye:

  • Re-desplegar personal
  • Decidir si reparar la instalación, reubicarse en un sitio alternativo o construir una nueva instalación
  • Adquirir los recursos adicionales necesarios para restaurar las operaciones comerciales
  • Restablecer operaciones normales
  • Reanudar operaciones a niveles previos a la interrupción

Ejemplo

A la hora de elaborar un plan de continuidad de negocio en tu empresa, además de seguir los pasos indicados en esta guía, puedes ver el ejemplo propuesto por el INCIBE que te ayudará a través del modelo establecido de Plan de continuidad de negocio.

Conclusión

Cuando no se pueden entregar servicios y productos críticos, las consecuencias pueden ser graves. Todas las organizaciones están en riesgo y enfrentan un desastre potencial si no están preparadas. Un Plan de Continuidad del Negocio es una herramienta que permite a las instituciones no solo moderar el riesgo, sino también entregar continuamente productos y servicios a pesar de la interrupción.