Estrategias y Consejos para Favorecer la Continuidad Empresarial
En un mundo cada vez más volátil e incierto, las empresas se enfrentan constantemente a una amplia gama de riesgos que podrían poner en peligro su supervivencia. Contar con una buena estrategia de continuidad de negocio se ha convertido en una necesidad esencial para cualquier organización. La continuidad del negocio se refiere a la capacidad de una empresa para seguir operando durante y después de un evento disruptivo. Su implementación no solo protege a las organizaciones ante adversidades, sino que también fortalece su resiliencia y capacidad de adaptación.
¿Qué es la Continuidad de Negocio?
La continuidad de negocio es la capacidad de una organización para mantener las funciones empresariales críticas y minimizar el tiempo de inactividad en caso de crisis. Ignorar la importancia de la continuidad de negocio puede traer consecuencias graves: desde pérdidas financieras, interrupciones en el servicio, hasta daños a la reputación y pérdida de confianza por parte de clientes y socios.
Riesgos para la Continuidad del Negocio
Los riesgos relacionados con la continuidad de negocio son eventos o circunstancias que pueden interrumpir o afectar negativamente las operaciones y la capacidad de una organización para proporcionar productos o servicios de manera continua. Estos riesgos pueden surgir tanto de forma interna como externa. Es importante identificarlos y gestionarlos adecuadamente para garantizar la resiliencia y la continuidad de la organización.
Las evaluaciones de riesgos deben incluir eventos disruptivos, como desastres naturales, guerras, actos de terrorismo, olas de calor e inundaciones, así como fallos de TI causadas por errores de software y humanos y ciberataques, cualquier cosa que pueda interrumpir sus operaciones comerciales normales y provocar pérdidas financieras. Los riesgos más comunes pueden agruparse en los siguientes campos: desastres naturales, amenazas de origen industrial, errores y fallos no intencionados y ataques intencionados.
El impacto del cibercrimen en las empresas: estrategias fundamentales para la ciberseguridad
Marcos y Estándares de Referencia
Una estrategia de continuidad efectiva debe basarse en la anticipación, preparándose para los posibles eventos disruptivos que pueden afectar negativamente la compañía. Para eso, se debe llevar a cabo una toma de decisiones acertada e informada.
La norma ISO 22301, Requisitos de un Sistema de Gestión para la Continuidad del Negocio, la define como la preparación proactiva de la organización frente a contingencias de todo tipo. La ISO 22301:2019 ofrece unas guías claras y muy prácticas para poder desarrollar un Sistema de Continuidad de Negocio adaptado a nuestra organización. Dicho estándar cuenta con una serie de apartados dirigidos a la protección y reducción de la probabilidad de ocurrencias, la preparación, respuesta y recuperación de disrupciones cuando estas surjan.
Asimismo, la ISO 31000:2018 otorga directrices para la gestión de riesgos, siendo de gran ayuda para la definición de un marco de gestión de riesgos adecuado. Es fundamental que el plan se alinee con los objetivos de la organización y con los estándares y principales referentes de la industria, incluidos los requisitos estatales, nacionales e internacionales. Las empresas deben revisar sus evaluaciones de riesgos, análisis de impacto y planes de recuperación para asegurarse de que cumplen con los últimos estándares, por ejemplo, la Directiva Federal de Continuidad de FEMA para las organizaciones federales.
Pasos Clave para Desarrollar una Estrategia de Continuidad de Negocio
Cuando una compañía decide que va a implementar una estrategia de continuidad de negocio deberá seguir una serie de pasos para ello. Una buena estrategia comienza con la identificación de las amenazas y priorizando los procesos que sus organizaciones no pueden permitirse el lujo de prescindir.
1. Compromiso de la Alta Dirección
En primer lugar, es de gran importancia tener una alta dirección comprometida y activa para que se puedan llevar a cabo correctamente todas las actividades necesarias. Esto implica que la alta dirección debe establecer políticas claras, objetivos, responsabilidades y asignación de recursos adecuados, promoviendo la cultura de la continuidad de negocio en toda la organización. El liderazgo efectivo garantiza que se establezcan las bases sólidas para la estrategia de continuidad, y su participación en el desarrollo de una política que regule la continuidad de negocio es un punto crucial sobre el cual desarrollar la estrategia.
2. Comprensión del Contexto y Partes Interesadas
Una vez se ha creado un marco de gestión sólido, es importante conocer la información general de la compañía, como el entorno empresarial de la organización, los factores y condiciones internas y externas que pueden tener efecto sobre ella. Este proceso es complicado, pero es muy importante para crear un buen marco de gestión de riesgos, el cual es clave para la definición de una estrategia de continuidad adecuada.
Asimismo, la comprensión de las necesidades y expectativas de las partes interesadas permite a la organización diseñar Planes de Continuidad de Negocio que aborden de manera efectiva las preocupaciones y prioridades de cada grupo. Por ejemplo, si los clientes esperan una comunicación constante durante una interrupción, el plan de continuidad debe incluir medidas para garantizar la comunicación regular y clara con estos. También, se deben identificar los requisitos legales y reglamentarios relevantes para garantizar que el plan esté en consonancia con estos. Por consiguiente, comprender y abordar estos aspectos ayuda a construir confianza y credibilidad en la organización.
3. Definición del Alcance y Procesos Críticos
Lo que la norma recomienda es definir un alcance. Aplicado a la continuidad de negocio, este alcance deberá ceñirse a los procesos más críticos dentro de la compañía. No tendría ningún sentido dedicar todos los esfuerzos a actividades de apoyo, por ejemplo. Para eso, es importante la revisión del mapa de procesos completo de la compañía y escoger solo los procesos que se consideren críticos.
4. Análisis de Impacto en el Negocio (BIA)
Una vez estos procesos estén bien definidos, se deberán empezar las cuestiones más técnicas. El primer paso es desarrollar un Análisis de Impacto en el Negocio (BIA) de los procesos determinados en el alcance. Este permite determinar qué pasa si una actividad deja de desarrollarse, teniendo sus consecuencias y creando unos impactos en la compañía, como sanciones, molestias puntuales, hasta incluso el cierre de la compañía.
Para la realización del análisis de impacto se debe desarrollar un proceso sistemático que permita extraer la información necesaria para la toma de decisiones. Así pues, en primer lugar, es necesario identificar las dimensiones de tiempo y tipologías de impacto que se deben tener en cuenta para la recuperación del servicio, así como definir unos criterios de evaluación claros. Cuando se cuente con una metodología bien definida, se debe evaluar qué impacto supone para la compañía la indisponibilidad de cada proceso escogido desde los diferentes puntos de vista y en la línea de tiempo establecida. Además, se deben identificar todos los activos que sustentan los procesos analizados, determinando cuáles de estos recursos son esenciales para la prestación del servicio.
5. Definición de Variables de Continuidad
El análisis de impacto en el negocio otorga como resultado las variables de continuidad, que marcarán fuertemente la estrategia de continuidad. Estas variables son cruciales para establecer los objetivos de recuperación.
- Periodo Máximo Tolerable de Disrupción (MTPD): Es de gran importancia ya que ayuda a determinar el Tiempo Objetivo de Recuperación (RTO).
- Tiempo Objetivo de Recuperación (RTO): Mide la cantidad de tiempo que se tarda en restaurar los procesos empresariales críticos después de una interrupción. Los planes de continuidad deben ser descritos para poder ser llevados a cabo en el tiempo que indique el RTO.
- Nivel Mínimo de Servicio Aceptable (MBCO): Los planes de continuidad llevan la operación al Nivel Mínimo de Servicio Aceptable. Establecer un nivel de servicio mínimo que cumpla con las necesidades y expectativas de las partes interesadas es crucial para asegurar la continuidad de negocio durante una disrupción.
- Objetivo de Punto de Recuperación (RPO): Es el período en el que se pueden permitir perder datos antes de una interrupción. Esta variable asegura la disponibilidad y la integridad de los datos críticos para el negocio. Determinar el RPO adecuado permite establecer estrategias y medidas para proteger y garantizar la disponibilidad de los datos esenciales durante una interrupción.
- Tiempo de Recuperación de la Operación (WRT): Es el tiempo entre que se activan los planes de continuidad y se termina la ejecución de los planes de recuperación.
Para entender mejor estos conceptos, se puede representar la relación entre ellos de forma gráfica:
Observando este gráfico (o línea de tiempo), se aprecia que en un principio la operación del proceso en cuestión mantiene sus niveles normales hasta que ocurre un incidente. Entonces, el nivel de operación baja de golpe; en este momento se cuenta como máximo con el tiempo definido por el RTO para la ejecución de los Planes de Continuidad, los cuales llevarán la operación a un Nivel Mínimo de Servicio Aceptable (MBCO), lo que nos permite seguir prestando los productos o servicios mientras se activan los planes de recuperación para así volver al nivel de operación habitual. Por otro lado, el RPO nos indicará el tiempo de datos que nos podemos perder como máximo.
Tabla de Variables Clave en Continuidad de Negocio
| Variable | Descripción |
|---|---|
| MTPD (Maximum Tolerable Period of Disruption) | Periodo máximo de tiempo que una organización puede tolerar una interrupción antes de que los impactos adversos se vuelvan inaceptables. |
| RTO (Recovery Time Objective) | Tiempo objetivo dentro del cual se deben restaurar las funciones o procesos empresariales después de una interrupción. |
| RPO (Recovery Point Objective) | Punto en el tiempo hasta el cual se pueden perder datos debido a una interrupción. Define la cantidad máxima de datos que se pueden perder. |
| MBCO (Minimum Business Continuity Objective) | Nivel mínimo de servicios o productos que una organización debe mantener para cumplir con sus objetivos durante una interrupción. |
| WRT (Work Recovery Time) | Tiempo para reanudar las actividades normales de trabajo después de la restauración de sistemas y datos al RTO y RPO definidos. |
6. Análisis de Riesgos
A estas alturas, se tienen claros cuáles son los procesos, los tiempos y niveles de servicio que se deben tener en cuenta para la recuperación de la prestación de productos o servicios, pero no sabemos qué va a ocasionar los incidentes que pueden llevar a la indisponibilidad de dichos procesos. Para ello, se debe desarrollar un análisis de riesgos.
Las metodologías usadas en el mercado para ello son múltiples, por eso es crucial elegir una metodología que sea fiable. Cuando se haya definido una metodología a emplear, es necesario ejecutar la etapa de evaluación, identificando los riesgos más probables para las actividades prioritarias de la organización. Una vez obtenidos los resultados, es necesario analizarlos y valorarlos. Así pues, se debe decidir qué nivel de riesgo es tolerable y proponer planes de tratamiento de riesgo para los riesgos que superen este nivel. La mitigación del riesgo tiene como objetivo reducir la probabilidad y/o impacto de un evento adverso en caso de que suceda.
El análisis de riesgos es esencial para el desarrollo de planes de continuidad, siendo una parte fundamental de la estrategia de continuidad.
7. Desarrollo de Estrategias y Planes de Continuidad
La estrategia de continuidad se basa en los resultados de los análisis de impacto en el negocio y de riesgos. Es fundamental que se cumpla con los requisitos para mantener y recuperar las actividades prioritarias dentro de los plazos y los niveles acordados, protegiendo dichas actividades y reduciendo la probabilidad de disrupción. Es por eso que la solución escogida debe basarse en las estrategias y soluciones que cumplan los requisitos desprendidos de las evaluaciones previas para continuar y recuperar las actividades prioritarias dentro del tiempo y niveles establecidos.
La estrategia de continuidad se debe plasmar en los planes y procedimientos de continuidad de negocio. Estos tienen como objetivo la comunicación y la gestión de incidentes disruptivos. Por eso, estos deberán ser específicos y flexibles, asegurando su eficacia a la hora de minimizar el impacto del evento, así como la evaluación de incidentes que puedan terminar en disrupción. De forma adicional, se pueden crear proyectos de implantación de medidas de protección que, en caso de incidente, contribuyan en la prevención y minimización de impactos.
8. Tipos de Planes y Procedimientos
Existen dos tipos de planes y procedimientos a desarrollar: los transversales y los específicos.
- Procedimientos transversales: Son necesarios para la gestión y comunicación de cualquier tipo de incidente que pueda afectar a la compañía, sin importar si es tecnológico, reputacional, legal, etc. En primer lugar, se debe crear un procedimiento de gestión de incidentes que identifique los equipos y roles necesarios, así como las relaciones entre ellos para la gestión de incidentes.
- Planes específicos: Estos se centran en la recuperación de actividades prioritarias. Para cada amenaza potencial identificada en el BIA, las organizaciones deben diseñar una respuesta adecuada.
Elementos Esenciales para una Continuidad de Negocio Exitosa
La continuidad de negocio no ocurre por accidente. Se construye con estrategias claras, recursos adecuados y una cultura organizacional enfocada en la prevención y respuesta.
1. Capacitación y Formación del Personal
Capacitar al personal es uno de los pasos más importantes para garantizar la continuidad de negocio. Es fundamental que todos los miembros del equipo sepan cómo actuar en caso de un evento disruptivo. Los equipos de continuidad deben estar formados para realizar tareas que se les requieran durante un desastre real y tener la oportunidad de practicar con frecuencia. Las empresas también deben actualizar y formar a los miembros del equipo con regularidad en torno a sus responsabilidades.
2. Automatización de Procesos
La automatización de procesos ayuda a reducir errores humanos y a garantizar que los servicios críticos sigan funcionando incluso ante escenarios adversos. La automatización puede apoyar la continuidad de negocio contribuyendo a poner procesos seleccionados en "piloto automático", reduciendo la posibilidad de que el error humano o la sobrecarga de información provoquen una interrupción. Por ejemplo, consideremos las copias de seguridad de datos automatizadas en la nube, mediante las cuales los archivos importantes se guardan y almacenan de forma continua y segura en varias ubicaciones a las que se puede acceder desde cualquier lugar en el que un empleado tenga acceso a Internet.
3. Infraestructura Tecnológica Robusta y la Nube
Invertir en una infraestructura tecnológica moderna y robusta es una decisión clave para asegurar la continuidad de negocio. Dado que las plataformas de comunicaciones digitales y los datos desempeñan un papel crucial en la mayoría de las empresas modernas, restaurar funcionalidades en estas áreas suele ser la mayor prioridad. La seguridad de datos y las amenazas a la infraestructura de TI son aspectos importantes de la estrategia de continuidad de negocio. Los planes de recuperación virtualizados que se basan en instancias de máquinas virtuales (VM) para hacer copias de seguridad y restaurar los datos se han hecho cada vez más populares debido a su flexibilidad y escalabilidad.
La Nube permite a las empresas acceder a sus aplicaciones y datos desde cualquier lugar, en cualquier momento. La migración a la Nube garantiza resiliencia operativa, facilita la recuperación ante desastres y asegura la disponibilidad continua de los sistemas. La computación en la nube y los enfoques de desarrollo de aplicaciones más recientes diseñados para Internet están cambiando la forma en que las empresas desarrollan estrategias de continuidad de negocio. En lugar de duplicar o triplicar los presupuestos de TI para sistemas locales redundantes que necesitan licencias, servidores, almacenamiento, redes y refrigeración adicionales, los servicios en la nube permiten a las empresas desplegar aplicaciones cruciales en varios centros de datos en la nube en diferentes regiones de nube. La continuidad de negocio es especialmente importante dado que los sistemas de TI son cada vez más interdependientes y se incrementa el volumen de transacciones en línea. Una interrupción en una empresa puede traer consigo un efecto dominó y afectar a otras.
Oracle Cloud Infrastructure (OCI) puede ayudar a las organizaciones a protegerse contra el tiempo de inactividad informático relacionado con desastres. Oracle separa sus regiones nube globales, que prestan servicio a distintas áreas geográficas, en dominios de disponibilidad aislados y tolerantes a errores, cada uno con su propio suministro eléctrico y sistema de refrigeración. Esto significa que es muy poco probable que un fallo en un dominio detenga la actividad informática en otro. Una nube distribuida te proporciona la flexibilidad de elegir dónde y cómo se entregan los servicios para satisfacer tus necesidades, incluidas las tareas de BCDR.
4. Comunicación Efectiva
Una comunicación clara y efectiva es esencial durante una crisis. Las empresas deben establecer canales de comunicación sólidos para mantener informados a los empleados, clientes y socios sobre cualquier cambio o actualización relevante. Los planes de comunicación describen cómo las empresas se dirigen a las relaciones públicas (RP) durante un desastre. Por ejemplo, algunos líderes elaboran de antemano mensajes concisos y efectivos destinados a diferentes públicos, como empleados, clientes o inversores. Un aspecto clave de la continuidad del negocio es la restauración de las redes de comunicación afectadas. La planificación de la recuperación de la red suele implicar identificar qué servicios de red son más importantes para una empresa y priorizar su restauración por encima de los otros. La planificación de la continuidad de negocio se basa en que las empresas proporcionen actualizaciones oportunas en las que puede confiar el personal interno, los socios externos y los reguladores.
5. Revisión y Actualización Constante del Plan
Tener un plan no es suficiente. Es necesario revisarlo y actualizarlo constantemente. Es crucial evaluar regularmente el plan de continuidad del negocio y realizar ajustes cuando sea necesario. Para probar la eficacia de su estrategia, una organización debe ensayar constantemente simulaciones de las amenazas potenciales. Las empresas deben revisar sus evaluaciones de riesgos, análisis de impacto y planes de recuperación para asegurarse de que cumplen con los últimos estándares, y agregar pruebas y formación siempre que sea necesario.
Continuidad de Negocio vs. Recuperación ante Desastres (DR)
Tanto la continuidad del negocio como la recuperación ante desastres (DR) son procesos estratégicos que forman el núcleo de la gestión estratégica de crisis. Los dos términos están estrechamente relacionados y a menudo se usan indistintamente, y pueden combinarse en una práctica conocida como recuperación ante desastres para la continuidad del negocio (BCDR) que ayuda a las organizaciones a volver a la normalidad después de que ocurra un desastre.
La planificación de la continuidad del negocio tiende a centrarse en la preparación de la organización para enfrentarse a una amplia gama de amenazas. Por otro lado, los planes de recuperación ante desastres (DRPs) se centran en formas de proteger los datos, la infraestructura y los sistemas informáticos mientras ocurre un desastre. Ambos son indispensables y se complementan entre sí.
Beneficios de una Estrategia de Continuidad de Negocio
La implementación de una estrategia de continuidad de negocio sólida puede convertirse en una ventaja competitiva para las empresas. Aquellas organizaciones que demuestran su capacidad para mantener la continuidad de sus operaciones frente a situaciones desafiantes se ganan la confianza de los clientes y socios comerciales, lo que puede resultar en una mayor lealtad y preferencia por parte de ellos. Además, contar con planes de contingencia efectivos permite una recuperación más rápida y eficiente, lo que permite a las empresas minimizar los impactos negativos y reanudar sus operaciones antes que la competencia. La elaboración de una estrategia de continuidad del negocio exitosa ayuda a garantizar a los inversores, empleados y clientes que una empresa puede recuperarse rápidamente de cualquier problema que enfrente.
La continuidad de negocio ya no es un concepto opcional, sino una necesidad estratégica para cualquier empresa que busque mantenerse activa frente a imprevistos.
Errores Comunes a Evitar
Para asegurar el éxito en la implementación de una estrategia de continuidad de negocio, es crucial evitar ciertos errores que pueden comprometer su eficacia.
- No evaluar los riesgos ni priorizar las dependencias: No realizar un análisis exhaustivo de riesgos y de impacto puede llevar a proteger procesos secundarios o a prepararse para amenazas de baja probabilidad/impacto.
- Olvidarse de insistir en la necesidad de realizar copias de seguridad de los datos críticos: La pérdida de datos puede ser devastadora.
- Mantener un enfoque limitado en TI: Si bien la TI es crucial, la continuidad de negocio es una disciplina integral que abarca personas, procesos, proveedores e infraestructuras físicas.
- Descuidar las pruebas o ejercicios de planificación: Un plan sin pruebas es solo un documento; la práctica regular asegura su viabilidad y la preparación del personal.
- Falta de compromiso de la alta dirección: Sin el respaldo y la participación activa de los líderes, cualquier iniciativa de continuidad carecerá de los recursos y la autoridad necesarios.
- No considerar la continuidad y resistencia de los proveedores: Con las interrupciones de la cadena de suministro global, es vital evaluar cómo los proveedores pueden afectar la continuidad propia.