¿Qué es un plan de continuidad de negocio (BCP)?

Importancia de planificar la continuidad del negocio

La planificación de la continuidad del negocio es un proceso proactivo que permite a la empresa comprender las posibles amenazas, vulnerabilidades y debilidades de su organización en tiempos de crisis. La creación de un programa de continuidad del negocio garantiza que los líderes de la empresa puedan reaccionar con rapidez y eficiencia ante una interrupción del negocio.

Un BCP permite a una empresa seguir atendiendo a sus clientes durante una crisis y minimiza la probabilidad de que estos se vayan a la competencia. Estos planes reducen el tiempo de inactividad del negocio y describen las medidas a tomar antes, durante y después de una emergencia para mantener la viabilidad financiera de la empresa.

Elementos de un plan de continuidad de negocio

Según el consultor de continuidad de negocio Paul Kirvan, un BCP debe contener los siguientes elementos:

• Datos iniciales al inicio del plan, incluyendo información de contacto importante.
• Un proceso de gestión de revisiones que describe los procedimientos de gestión de cambios.
• El propósito y el alcance.
• Cómo utilizar el plan, incluidas pautas sobre cuándo se iniciará el plan.
• Información de políticas.
• Procedimientos de respuesta y gestión de emergencias.
• Procedimientos paso a paso.
• Listas de verificación y diagramas de flujo.
• Un glosario de términos utilizados en el plan.
• Un cronograma para revisar, probar y actualizar el plan.

En el libro "Planificación de Continuidad Empresarial y Recuperación ante Desastres para Profesionales de TI, Susan Snedaker recomienda plantear las siguientes preguntas:

• ¿Cómo funcionaría la organización si las computadoras de escritorio, las portátiles, los servidores, el correo electrónico y el acceso a internet no estuvieran disponibles?
• ¿Qué puntos únicos de fallo existen?
• ¿Qué controles y sistemas de gestión de riesgos existen?
• ¿Cuáles son las relaciones y dependencias críticas subcontratadas?
• Durante una interrupción, ¿qué soluciones alternativas existen para los procesos comerciales clave y las funciones internas, como los recursos humanos?
• ¿Cuál es el número mínimo de personal necesario para operar el centro de datos y otras operaciones, y qué funciones deberían llevar a cabo?
• ¿Cuáles son las habilidades, conocimientos y experiencia clave necesarios para recuperarse?
• ¿Qué controles operativos o de seguridad críticos son necesarios si los sistemas informáticos fallan?

Pasos de la planificación de la continuidad del negocio

El ciclo de vida de la planificación de la continuidad del negocio es un procedimiento para implementar los elementos del BCP. El ciclo de vida consta de los siguientes cinco pasos:

• Recopilación y análisis de información. Este paso consiste en una evaluación de riesgos (RA, por sus siglas en inglés) y un análisis de impacto en el negocio (BIA, por sus siglas en inglés). Una RA identifica las posibles interrupciones que podrían ocurrir en procesos específicos. Un BIA explica el impacto que la interrupción de un proceso determinado tiene en una empresa.
• Desarrollo y diseño del plan. El plan contempla todas las posibles interrupciones y ofrece soluciones.
• Implementación. En este paso, los empleados aprenden los detalles del BCP y qué deben hacer si alguna vez fuera necesario implementarlo.
• Pruebas. El plan se somete a una simulación para comprobar su eficacia. Se identifican y abordan las áreas de mejora.
• Mantenimiento y actualización. El plan debe revisarse y actualizarse periódicamente para reflejar las amenazas y los riesgos cambiantes, así como las nuevas formas de abordar y recuperarse de interrupciones específicas.

Implementación del BCP

Una vez que la empresa ha iniciado el proceso de planificación, inicia los procesos de BIA y RA para recopilar datos importantes. El BIA define las funciones críticas que deben continuar durante una crisis y los recursos necesarios para mantener dichas operaciones. El AR detalla los posibles riesgos y amenazas internos y externos, su probabilidad de ocurrencia y los posibles daños que podrían causar.

El siguiente paso determina las mejores maneras de abordar los riesgos y amenazas descritos en el BIA y el RA, y cómo limitar los daños derivados de un evento. Un plan de continuidad de negocio exitoso define procedimientos paso a paso para la respuesta.

El BCP no debe ser excesivamente complejo ni tener cientos de páginas. Debe contener la información justa para que el negocio siga funcionando. Las pequeñas empresas pueden usar un plan de una sola página con todos los detalles necesarios.

Un plan breve y sencillo puede ser más útil que uno largo y difícil de seguir. Los detalles deben incluir lo siguiente:

• Recursos mínimos necesarios para la continuidad del negocio.
• Lugares donde se debe desarrollar el plan.
• Personal necesario para llevarlo a cabo.
• Costos potenciales.

Cuatro pasos clave para la implementación del BCP

Hay cuatro pasos involucrados en la implementación de un plan de continuidad de negocio eficaz:

1. Supervisión. Decida quién supervisará el plan. Idealmente, un comité de BCP o un equipo de continuidad de negocio incluye líderes de negocio, seguridad y TI.
2. Análisis. Realice el BIA.
3. Detalles. Responda preguntas sobre continuidad del negocio, como las siguientes:

1. • ¿Quién se ve afectado por una interrupción del negocio?
   • ¿Quién tiene una copia impresa de la información de contacto de los principales clientes?
   • ¿Cómo y cuándo se notificará a los clientes, empleados y dirección?
   • ¿Cuáles son los medios de comunicación alternativos si fallan los teléfonos?
   • ¿Qué empleados son necesarios para restablecer funciones críticas del negocio y cómo se podrá contactar con ellos o reubicarlos?
   • ¿Qué productos y servicios críticos debería la empresa centrarse primero en restaurar?
   • ¿Qué cuestiones deben abordarse en las primeras 24 a 48 horas?
   • ¿Cada equipo y departamento tiene su propio BCP? ¿Quién está a cargo de cada uno?
   • ¿Cuál es el plan de sucesión de emergencia para el personal superior, incluido el director ejecutivo?
   • ¿Qué empleados realizarán tareas de emergencia?
   • ¿Dónde se llevarán a cabo las reuniones de crisis fuera de la oficina?
   • ¿Quién interactuará con los servicios de emergencia locales, como los bomberos y la policía?
   • ¿Quiénes son los proveedores clave, incluidos los proveedores de respaldo de datos?

4. Acción. Cree un BCP que incluya acciones específicas y roles asignados para cada etapa de la emergencia, incluyendo lo siguiente:

1. • Respuesta inicial. Define cómo responderá la empresa ante una interrupción del negocio en las primeras horas. Este es el periodo en el que se contacta a los miembros del equipo y se activa el BCP.
   • Reubicación. Durante esta etapa, se activan instalaciones alternativas y se implementan políticas de teletrabajo.
   • Recuperación. Una vez reubicados el personal y los equipos, comienza la evaluación de daños y la supervisión de la recuperación empresarial. La estrategia de recuperación debe considerar el objetivo de tiempo de recuperación (RTO, por sus siglas en inglés) de la organización, que es el tiempo máximo que los sistemas de TI pueden estar inactivos tras una falla, así como su objetivo de punto de recuperación (RPO, por sus siglas en inglés), que es la pérdida máxima de datos que la organización puede tolerar.
   • Restauración. El personal regresa a su lugar de trabajo original o a un sitio alternativo. La empresa verifica la infraestructura, documenta el incidente y revisa las lecciones aprendidas.

Pruebas de BCP

La tecnología, los procesos, el personal y las instalaciones de una organización cambian constantemente. Por lo tanto, es fundamental probar, revisar y actualizar periódicamente un BCP. Las pruebas del plan deben realizarse mediante ejercicios prácticos, recorridos, planes de comunicación para la gestión de crisis y medidas de emergencia para comprobar su viabilidad y observar cómo reaccionan los empleados y ejecutivos ante situaciones de estrés.

Haga clic en el icono para
descargar nuestra plantilla
gratuita de pruebas de
continuidad empresarial.

Las pruebas y el mantenimiento periódicos garantizan que el BCP esté actualizado y sea preciso. Una prueba sencilla de un plan de continuidad del negocio puede implicar una revisión exhaustiva del mismo. Una prueba compleja requiere un repaso completo de lo que ocurre en caso de una interrupción del negocio.

La prueba se planifica o se realiza de forma improvisada para simular mejor un evento imprevisto. Si surgen problemas durante la prueba, el plan se corrige en consecuencia durante la fase de mantenimiento. El mantenimiento también incluye una revisión de las funciones críticas descritas en el BIA y los riesgos descritos en el RA, así como la actualización del plan si es necesario.

Un plan de continuidad del negocio debe mejorarse continuamente; las actualizaciones no deben esperar a una crisis. El personal involucrado en el plan debe recibir actualizaciones periódicas y capacitación sobre continuidad del negocio. Se debe realizar una auditoría interna o externa del plan de continuidad del negocio para evaluar su eficacia e identificar áreas de mejora.

Software, herramientas y tendencias de planificación de la continuidad empresarial

Existe ayuda disponible para guiar a las organizaciones en el proceso de planificación de la continuidad del negocio, desde consultores hasta herramientas y software completo. El enfoque que adopte una organización dependerá de la complejidad de la tarea de planificación, el tiempo y el personal disponibles, y el presupuesto.

Antes de realizar una compra, es recomendable investigar tanto los productos como los proveedores, evaluar demostraciones y hablar con otros usuarios.

Para funciones más complejas, el software de continuidad de negocio utiliza bases de datos y módulos para ejercicios específicos. El Departamento de Seguridad Nacional de EE. UU., a través de su sitio web Ready.gov, ofrece software en su Suite de Planificación de Continuidad de Negocio. Entre los proveedores que ofrecen software BCP con diversas funciones útiles se incluyen Agility Recovery, Archer, Everbridge, Fusion Risk Management, LogicManager y Riskonnect.

El folleto sobre Gestión de Continuidad de Negocio del Consejo de Examinación de Instituciones Financieras Federales contiene orientación sobre el desarrollo de planes, pruebas, estándares y capacitación para organizaciones financieras y no financieras.

Descargue gratuitamente la plantilla BCP

El rol del profesional de continuidad de negocio ha cambiado y continúa evolucionando. Dado que a los administradores de TI se les exige cada vez más que hagan más con menos, es recomendable que los profesionales de continuidad de negocio tengan un amplio conocimiento en tecnología, seguridad, gestión de riesgos, gestión de emergencias y planificación estratégica.

Haga clic en el icono para
descargar nuestra plantilla
gratuita de plan de
continuidad empresarial.

La planificación de la continuidad del negocio también debe considerar tecnologías emergentes y en crecimiento, como la IA generativa y la computación cuántica. Asimismo, debe considerar amenazas nuevas y crecientes, como los ataques de envenenamiento de datos dirigidos a los datos de entrenamiento de inteligencia artificial y aprendizaje automático.

Normas de planificación de la continuidad del negocio

Los estándares de planificación de continuidad empresarial proporcionan un punto de partida para desarrollar un BCP.

La norma ISO 22301:2019 de la Organización Internacional de Normalización (ISO) se considera el estándar global para la gestión de la continuidad del negocio. La ISO 22301 suele complementarse con otras normas, como las siguientes:

• ISO 22313:2020, orientación sobre el uso de la norma ISO 2230.
• ISO/TS 22317:2021, directrices para el análisis del impacto empresarial.
• ISO/TS 22318:2021, continuidad de las cadenas de suministro.
• ISO 22398:2013, directrices de aplicación.

Otras normas incluyen las siguientes:

• Asociación Nacional de Protección contra Incendios 1600, gestión de emergencias y continuidad empresarial.
• Instituto Nacional de Estándares y Tecnología SP 800-34, planificación de contingencias de TI.
• BS 25999 de la British Standards Institution, norma para la continuidad del negocio.

Planes de gestión de emergencias y recuperación ante desastres

Un plan de gestión de emergencias es un documento que ayuda a minimizar los daños de un evento peligroso. Una planificación adecuada de la continuidad del negocio incluye la gestión de emergencias como un componente importante. El equipo de gestión de emergencias designado asume la iniciativa durante una interrupción del negocio.

Un plan de gestión de emergencias, como un BCP, debe revisarse, probarse y actualizarse periódicamente. Debe ser sencillo y proporcionar los pasos necesarios para afrontar un evento. El plan también debe ser flexible, ya que las situaciones suelen ser cambiantes. Los equipos involucrados en un evento designado como emergencia deben comunicarse frecuentemente durante el incidente.

La recuperación ante desastres (DR, por sus siglas en inglés) y la planificación de la continuidad del negocio suelen estar vinculadas, pero son diferentes. Un plan de DR es reactivo, ya que detalla cómo una organización se recupera tras una interrupción del negocio. Un plan de continuidad del negocio es un enfoque proactivo que describe cómo una organización puede mantener sus operaciones durante una emergencia.

Casos de uso reales de planes de continuidad empresarial

Los BCP son esenciales en diversas industrias y se adaptan a las necesidades de cada organización. Algunos ejemplos de industrias que se benefician de la implementación de BCP –y situaciones donde estos son necesarios– incluyen los siguientes:

• Atención médica. Un BCP utilizado en el sector salud aborda diversas amenazas a las bases de datos que almacenan datos de pacientes. Estas incluyen ciberataques, desastres naturales que causan cortes de energía y errores humanos. El plan describe estrategias de respaldo y protección de datos. El BCP también debe garantizar que los empleados de la empresa de atención médica puedan seguir cumpliendo con la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA, por sus siglas en inglés) durante un contratiempo.
• Manufactura. Las plantas de manufactura son susceptibles a desastres naturales y ciberamenazas de origen humano. Un BCP incluiría no solo copias de seguridad de datos, sino también equipos, como generadores de emergencia en caso de un corte de energía. También se incluyen sitios de manufactura secundarios designados. Finalmente, incluiría procedimientos para reparaciones sencillas que los trabajadores puedan realizar en las líneas de producción.
• Finanzas. En el sector financiero, las ciberamenazas y el robo de datos son cada vez más comunes, al igual que los problemas técnicos que provocan la pérdida de datos. Un BCP en finanzas debe detallar las consideraciones de cumplimiento normativo para los empleados que gestionan y protegen la información financiera durante una emergencia o desastre. También debe incluir metodologías para el uso de copias de seguridad de datos y otras funciones durante eventos de continuidad del negocio.

Los BCP son un componente esencial en la gestión de crisis que afectan a las grandes empresas.