Matriz de Riesgos y el Plan de Continuidad del Negocio: Protegiendo la Resiliencia Empresarial

En un mundo empresarial cada vez más complejo y volátil, el Plan de Continuidad del Negocio (BCP) ha emergido como una herramienta esencial en la gestión de riesgos. Permite que una organización continúe operando en medio de interrupciones inesperadas, ya sea un desastre natural, un fallo tecnológico o cualquier otra crisis. La pérdida de reputación y la interrupción del negocio encabezan la lista de los mayores riesgos para las empresas. La continuidad del negocio se refiere a la capacidad de una organización para mantener las funciones empresariales cruciales, minimizar las interrupciones y reanudar las operaciones normales con un tiempo de inactividad mínimo cuando se produce una crisis. Es decir, la continuidad de negocio permite recomponerse a la empresa/organización sin que sus funciones, procesos, imagen, etc. se vean comprometidos.

Sin un plan de continuidad del negocio, las empresas son vulnerables a toda una serie de incidentes. Esta falta de gestión de la continuidad del negocio (BCM) puede ser costosa. Por ejemplo, el coste medio de una vulneración de datos en 2023 fue de 4,45 millones de dólares, según el informe "Cost of Data Breach" de IBM. Tras una pérdida de este tipo, a las empresas les puede resultar difícil recuperarse.

¿Qué es un Plan de Continuidad del Negocio (BCP)?

El Plan de Continuidad de Negocio es una herramienta que permite prevenir o evitar los posibles escenarios originados por una situación de crisis así como minimizar las consecuencias económicas, de pérdida de reputación o de responsabilidad civil, derivadas de la misma. Este plan ayuda además a reducir los costes asociados a la interrupción o evitar penalizaciones contractuales por incumplimiento de contratos como proveedor de productos o servicios. El Plan de Continuidad del Negocio permite anticiparse a la situación de crisis y garantizar el desarrollo normal de la actividad, determinando los riesgos de magnitud suficiente para poder en peligro el normal funcionamiento de las actividades del negocio y señalando las acciones a adoptar en caso de que éstos se materialicen. Asimismo, ayuda a determinar de antemano qué información es crítica y cómo debe salvaguardarse.

Un plan de continuidad del negocio (BCP) detalla los pasos que seguirá una organización para volver a las funciones comerciales normales en caso de desastre. Aunque los planes de continuidad del negocio y de recuperación ante desastres son planes de contingencia, cada uno aborda la gestión de crisis de manera diferente. Los BCP son una estrategia proactiva de continuidad del negocio para mantener las funciones empresariales antes, durante e inmediatamente después de una interrupción. Un evento catastrófico puede provocar un tiempo de inactividad disruptivo. Se produce el caos y los equipos suelen luchar para que los sistemas vuelvan a funcionar. Una vez que las funciones empresariales cruciales están en marcha, los equipos pueden centrarse en reanudar los procesos empresariales normales. Un BCP especifica un objetivo de tiempo de recuperación, u RTO, que es la cantidad de tiempo que se tarda en restaurar los procesos empresariales tras un incidente imprevisto. Las interrupciones en los negocios pueden resultar caras: cada minuto de inactividad de los sistemas de una empresa puede traducirse en una pérdida de ingresos. La BCM puede reducir significativamente los costes de recuperación. La continuidad del negocio podría incluso ser un requisito regulatorio, especialmente en sectores como la sanidad y las finanzas personales.

La continuidad de negocio busca, en definitiva, que toda la organización sea consciente de los riesgos que la amenazan, los analice y valore el impacto de los riesgos en sus actividades. Por tanto, la continuidad de negocio aporta los conocimientos sobre el valor de una empresa u organización, cómo se crea y se mantiene, y cuáles son las vulnerabilidades asociadas que pueden poner en riesgo su continuidad. Por tanto, la continuidad de negocio aporta un enfoque holístico de la seguridad en una empresa u organización y los elementos necesarios para garantizar la respuesta ante cualquier evento que ponga en riesgo el correcto funcionamiento y la pervivencia de la organización.

Un BCP es un documento vivo que describe los procesos y procedimientos que una organización debe seguir en caso de una emergencia.

La Importancia de la Matriz de Riesgos en el BCP

La gestión de riesgos se asocia a menudo con la Gestión de Continuidad del Negocio (BCM). El plan de continuidad del negocio es un componente vital en la estrategia de gestión de riesgos de una organización. No solo ayuda a las empresas a sobrevivir en tiempos de crisis, sino que también asegura que puedan prosperar en un entorno empresarial en constante cambio. En un contexto social como el actual, propenso a los cambios (sociales, financieros y políticos), contar con un plan de continuidad del negocio es, a todas luces, esencial para la supervivencia de este. Por eso, es clave que la organización gestione adecuadamente sus riesgos, es decir, que los identifique, evalúe, controle y monitoree constantemente para prevenir su materialización o mitigar su impacto.

En este artículo, y con detalle, explicaremos lo qué es el plan de continuidad de negocio, cómo elaborarlo, cuáles son sus elementos clave y las fases que lo componen. En primer lugar, un plan de continuidad del negocio tiene que indicar los riesgos que se pueden presentar (y que, tras su análisis, se han considerado como “potencialmente peligrosos”) y la forma de combatirlos.

Un mapa de riesgos es una herramienta que permite identificar, categorizar, evaluar y priorizar los riesgos a los que está expuesta una organización. El mapa de riesgos actúa como insumo clave para el diseño del BCP, ya que permite identificar los escenarios de mayor impacto y probabilidad. A través del Análisis de Impacto al Negocio (BIA), se identifican procesos críticos y se estima el impacto por su interrupción.

Identificación de Riesgos

Identificar riesgos es clave en una evaluación de riesgos. Conocerlos servirá para tu trabajo como profesional de BCM. Si realizar una evaluación de riesgos es parte de tu camino, asegúrate de entender cuál es el objeto de la evaluación. No enumeres un montón de amenazas, sino trata de definir claramente cuál es el riesgo con causa y consecuencias.

En la norma ISO 22301, el BCMS también requiere una evaluación de riesgos. La gestión de riesgos implica identificar, mitigar riesgos mediante la implementación de controles, y monitorearlos. En nuestro campo, «necesitamos» que ocurra el riesgo para ejecutar una estrategia de recuperación. Muchas veces, los planes o estrategias de Continuidad del Negocio se consideran controles para mitigar un riesgo.

Ahora enfoquémonos en el primer paso de una evaluación: identificar un riesgo. Si lo hacemos nosotros mismos, necesitamos entender qué estamos analizando. ¿Es un proceso? ¿Un producto? ¿Un edificio? ¿Un equipo? Evaluar un riesgo requerirá identificar todas las amenazas que pueden afectar al «activo» y entender cuál podría ser el impacto. Lista las amenazas en una tabla (matriz). Agrúpalas por categorías si es posible o necesario (desastres naturales, ciberseguridad, desastres provocados por el hombre, etc.). Un terremoto podría ser difícil de ocurrir en una región, mientras que los huracanes podrían ser más probables. Hazlo obvio. Identifica todos los impactos directos sobre el activo. Para realizar una evaluación de riesgos, y de acuerdo con las buenas prácticas, se recomienda definir el riesgo, no solo mencionar un montón de amenazas. Además, no confundas la causa con la vulnerabilidad. El apagón energético causó la falla del sistema. La falta de redundancia o mantenimiento es la vulnerabilidad, pero no es la causa original de la falla, el corte de energía lo es.

Imagen: Representación visual de una matriz de riesgos, clasificando amenazas por probabilidad e impacto.

Ejemplos de Riesgos que Amenazan la Continuidad del Negocio

Según el software de sistemas de gestión ISOTools Excellence, son muchas las áreas de las empresas y organizaciones que son susceptibles de sufrir eventos disruptivos que puedan comprometer el correcto funcionamiento de éstas:

• Ciberriesgos y ciberataques: La tecnología es una de las infraestructuras críticas más relevantes en la actualidad y puede ser atacada con frecuencia, siendo necesario protegerla continuamente.
• Incidentes de seguridad, tanto offline como online: Un deficiente control de acceso a los sistemas informáticos, la existencia de vulnerabilidades web pueden poner en riesgo la continuidad del negocio, ya sea a nivel interno, ya sea repercutiendo en la reputación del mismo.
• Falta de formación y concienciación entre los trabajadores y/o directivos: Los errores humanos pueden dañar seriamente la continuidad de un negocio, más aún si faltan planes de continuidad conocidos por todos los empleados.
• Actos de terrorismo contra la empresa u organización: Puede dañar profundamente sus procesos y actividades, pudiendo ser muy difícil su recuperación.

Elementos Clave y Fases de un Plan de Continuidad del Negocio

En lo que respecta a la planificación de la continuidad del negocio, cada organización tendrá sus propias necesidades. A continuación te contamos cuáles son los parámetros que debes seguir para implementar de manera adecuada un plan de continuidad de negocio que se ajuste a su organización teniendo en cuenta sus objetivos, estructura y alcance:

1. Análisis del Impacto Empresarial (BIA)

   Un análisis del impacto empresarial (BIA) es una parte crucial de la gestión de riesgos y sirve como primer paso en el proceso de planificación. Implica una evaluación de riesgos para valorar diversas funciones empresariales y determinar los posibles riesgos, amenazas y vulnerabilidades. El BIA ayuda a identificar los procesos críticos y estima el impacto por su interrupción. Los auditores, con su habilidad para identificar y evaluar riesgos, pueden colaborar en el análisis de riesgos de la organización. Esto implica identificar los posibles eventos que podrían interrumpir las operaciones y evaluar su impacto y probabilidad.

   La aplicación de un plan de continuidad del negocio empieza por el examen, detallado, de los riesgos que han afectado a la empresa y el impacto que han tenido en ella. Un proceso que supone, una vez se conoce el problema, la identificación de las funciones y procesos (y, también, empleados) que son vitales para su funcionamiento, la evaluación del daño que han sufrido y las consecuencias que va a tener su interrupción (a todos los niveles).

   Parámetros clave:

   • Análisis de impacto del negocio: Evaluación de las consecuencias de la interrupción de procesos críticos.
   • Impacto máximo aceptable: El nivel máximo de daño que la organización puede soportar.
   • Objetivo de recuperación de negocio: Nivel mínimo aceptable de operatividad de los productos y servicios a recuperar luego de una interrupción.
   • Periodo máximo tolerable de interrupción (PMTI): El tiempo máximo que la organización puede tolerar que un servicio o proceso esté inactivo.
   • Punto único de falla: Un componente cuyo fallo puede detener todo un sistema.
   • Punto objetivo de recuperación (POR): Nivel máximo de información que se podría perder como resultado de una interrupción en los servicios de tecnologías de la información.
   • Tiempo objetivo de recuperación (TOR): Tiempo establecido por la empresa para reanudar operaciones, en caso de ocurrencia de una interrupción.

2. Desarrollo de Estrategias de Respuesta

   Para cada evento identificado, las empresas deben diseñar una respuesta adecuada. Cada incidente requiere un nivel de respuesta diferente. En este paso también entran en juego consideraciones tecnológicas, especialmente a la hora de establecer un objetivo de punto de recuperación (RPO). El RPO de una organización se refiere a la cantidad de datos que puede permitirse perder en caso de desastre y aún así recuperarse. En función de su RPO, las empresas podrían buscar herramientas de copia de seguridad y restauración de datos. En base a lo obtenido en la evaluación de riesgos, y sabiendo el impacto que va a tener la “contingencia”, el siguiente paso al hacer un plan de continuidad del negocio es el desarrollo de las estrategias que ayudarán a reconducir la situación y superar el problema. Los auditores pueden asistir en la definición de estrategias de continuidad que sean adecuadas para los diferentes riesgos identificados.

   La continuidad de negocio recoge toda la política de la organización en materia de seguridad y de aceptación del riesgo. La continuidad de negocio desarrolla planes de contingencia, de recuperación y de autoprotección.

   Ejemplo de estrategia:

   • El plan de recuperación de los servicios de tecnología de información (TI) describiendo los aspectos necesarios para el despliegue de las estrategias aprobadas para recuperar los servicios de TI. Este se enfoca únicamente a riesgos tecnológicos que puedan traer grandes pérdidas o afectar de manera directa a la empresa.

3. Designación de Roles y Responsabilidades

   Durante este paso, los líderes empresariales y las partes interesadas designarán a los miembros clave del equipo que pondrán en marcha el plan y guiarán los esfuerzos de respuesta y recuperación. Un BCP eficaz define claramente las responsabilidades de cada miembro del equipo y describe los recursos necesarios para cumplir sus funciones. Es fundamental que en el plan de continuidad del negocio se definan las responsabilidades de cada empleado, en caso de emergencia, y, en base a ellas, se establezcan unas tareas (en orden de prioridad) a realizar (si esta se produce).

4. Pruebas, Formación y Revisión Continua

   Para demostrar la solidez de un BCP, las organizaciones deben someterlo a pruebas periódicas y revisiones continuas. La formación es esencial para concienciar a los empleados sobre las posibles amenazas, mientras que los ensayos frecuentes de situaciones realistas pueden ayudar a detectar problemas y oportunidades de mejora. El plan de continuidad del negocio es efectivo si los empleados lo conocen y, sobre todo, si se les ha impartido la formación necesaria, lo que supone la realización de sesiones que ayuden a saber y entender cuáles son sus roles y sus responsabilidades en caso de que se produzca una “contingencia”.

   Es vital que el BCP sea sometido a pruebas regulares para asegurar que funcione como se esperaba en una crisis. Un BCP eficaz no es un documento estático, sino que requiere mantenimiento y actualizaciones regulares. Los riesgos asociados a una empresa suelen cambiar con el paso del tiempo. La empresa debe revisar el sistema de gestión de la continuidad del negocio periódicamente o ante nuevos productos o cambios importantes en el ambiente de negocios, operativo o informático.

   Aspectos clave:

   • Las pruebas de continuidad deben asegurar el cumplimiento de los objetivos de la gestión de la continuidad del negocio.
   • Todos los empleados y miembros de la organización deben estar alineados con el sistema de gestión de continuidad de negocio, entender que esto hace parte de la compañía y que de ellos también depende su buen funcionamiento.

La Norma ISO 22301: Un Estándar para la Continuidad del Negocio

ISO 22301 es la norma internacional para implementar un Sistema de Gestión de Continuidad del Negocio (SGCN). Este estándar internacional está basado en la norma británica BS 25999, la cual fue sustituida en mayo del 2012 por la ISO 22301. Los estándares y buenas prácticas internacionales sobre la materia, entre los que se encuentran el estándar ISO 22301, sobre los sistemas de gestión de la continuidad del negocio, y la Guía de Buenas Prácticas del Business Continuity Institute, proporcionan un marco robusto.

¿Cuánto tiempo lleva implementar ISO 22301?

La implementación de la norma ISO 22301 puede tomar entre 4 y 10 meses dependiendo del tamaño y complejidad de la organización.

El Rol de los Auditores en el BCP

En este contexto, el papel de los auditores es fundamental. A través de su experiencia en evaluación y control de riesgos, pueden ayudar a las organizaciones a desarrollar y mantener planes robustos y resilientes de continuidad del negocio. La función crítica de los auditores en este proceso no puede ser subestimada. Con su habilidad para evaluar riesgos, probar y revisar el BCP, así como asegurar su cumplimiento con las normativas, los auditores se posicionan como aliados indispensables en el fortalecimiento de la resiliencia de la organización.

Los auditores pueden asistir en la definición de estrategias de continuidad que sean adecuadas para los diferentes riesgos identificados. Es vital que el BCP sea sometido a pruebas regulares para asegurar que funcione como se esperaba en una crisis. Un BCP eficaz no es un documento estático, sino que requiere mantenimiento y actualizaciones regulares.

Imagen: Representación esquemática de los componentes clave de un SGCN según ISO 22301.