Plan de Continuidad de Negocio (PCN): Clave para la Resiliencia Empresarial

¿Tu empresa está preparada para enfrentarse a lo inesperado? Incendios, fallos tecnológicos o incluso pandemias pueden poner en jaque la operatividad de cualquier negocio. Lo peor a lo que puede enfrentarse cualquier organización es una suspensión inesperada y forzosa de todas sus actividades.

No hay absolutamente ninguna forma de garantizar que su organización nunca se enfrente a una catástrofe. Sin embargo, hay medidas que puede tomar para mitigar los daños y reanudar rápidamente las operaciones. Un plan de continuidad de negocio (PCN) es el punto de partida perfecto.

Un Plan de Continuidad de Negocio (PCN) es un conjunto de estrategias y procedimientos diseñados para asegurar que una empresa pueda operar durante y después de un incidente crítico. Es un enfoque estratégico y sistemático que las organizaciones aplican para garantizar la continuidad de sus operaciones durante y después de un acontecimiento perturbador. Estos sucesos perturbadores pueden ir desde catástrofes naturales, como terremotos e inundaciones, hasta sucesos provocados por el hombre, como ciberataques y cortes de electricidad. Los paros en la operatividad pueden traducirse en grandes pérdidas.

Un PCN es una herramienta vital para ayudar a una organización a prepararse para situaciones de emergencia y garantizar que sus operaciones críticas puedan continuar de manera efectiva y eficiente. Si un negocio se paraliza, deja de producir y por tanto su capacidad económica se vería afectada.

Objetivos Principales de un PCN

Los objetivos principales de un PCN son los siguientes:

• Minimizar el tiempo de inactividad.
• Protección económica y reputacional.
• Cumplir con las obligaciones legales y contractuales con los clientes.
• Transmitir tranquilidad a empleados y clientes.

Además, un PCN también puede ayudar a mantener la reputación de una organización y la confianza de sus clientes.

Diferencia entre Continuidad de Negocio y Recuperación ante Desastres (RD)

La continuidad de negocio se centra en mantener las operaciones críticas durante una crisis, asegurando que la empresa siga funcionando, aunque de forma reducida. En cambio, la recuperación ante desastres se enfoca en restablecer y recuperar los sistemas una vez concluido el incidente. En lugar de pensar en la continuidad de la actividad y la recuperación ante desastres como dos estrategias distintas, es mejor considerarlas complementarias.

Para entender mejor estos conceptos, piense en su empresa como un barco que ha sufrido una catástrofe y ahora se hunde. En este caso, el PCB es la formación de emergencia que se ha realizado antes de zarpar, explicando qué hacer y dónde ir a los que están a bordo.

En paralelo, es interesante tener listo un Plan de Recuperación de Desastres (DRP por sus siglas en inglés). Su misión se centra en la recuperación de la infraestructura tecnológica y los datos tras un incidente.

Componentes Clave de un Plan de Continuidad de Negocio

Desarrollar un PCN requiere un enfoque estructurado. Un PCN completo suele incluir los siguientes componentes:

1. Análisis de Impacto en el Negocio (BIA)

• El BIA es el estudio que identifica los procesos críticos y evalúa el impacto de su interrupción.
• Identifica los procesos críticos de negocio, sistemas, equipos y recursos necesarios para que el negocio funcione, así como los objetivos de tiempos de recuperación.
• También se evalúa el impacto financiero y operacional de una interrupción en estos procesos y sistemas.
• Ayuda a recopilar la información necesaria para desarrollar estrategias de recuperación.

2. Evaluación de Riesgos

• La evaluación de riesgos identifica los riesgos y amenazas que pueden interrumpir las funciones empresariales identificadas en el BIA.
• Establece medidas de control para minimizar o mitigar estos riesgos.

3. Estrategias de Recuperación

• Basadas en el BIA, se diseñan planes de acción específicos para restaurar servicios y sistemas con el mínimo impacto.
• Esta sección describe las estrategias específicas que se utilizarán para recuperar y restaurar los sistemas críticos y los procesos de negocio, incluyendo planes de contingencia y medidas de recuperación.

4. Organización y Gestión de la Respuesta a la Emergencia

• Esta sección establece la estructura de gestión de la respuesta a emergencias y las responsabilidades específicas de cada miembro del equipo.
• También se identifican los procedimientos de comunicación, la capacitación y el equipamiento necesarios.

5. Planes de Continuidad de Negocio

• Los planes de continuidad de negocio detallan cómo se garantizará la continuidad de los procesos y sistemas críticos en caso de interrupciones importantes.

6. Pruebas y Simulacros

• Los simulacros permiten verificar la eficacia del plan, identificar áreas de mejora y entrenar al personal.
• El peor momento para descubrir que se dispone de un plan de BCDR anticuado e ineficaz es después de que se produzca una catástrofe.
• Realice pruebas frecuentes y a escala real a intervalos regulares. Las soluciones actuales de protección de datos permiten verificar si los backups y las réplicas son utilizables.
• Es aconsejable realizar simulacros de emergencia para garantizar que todos los participantes estén preparados y puedan cumplir con sus responsabilidades lo antes posible.

Pasos Detallados para Elaborar un PCN

Las organizaciones tienen estructuras, objetivos e incluso puntos débiles diferentes, por lo que un plan de BCDR debe personalizarse en función de sus requisitos y estrategias.

1. Definir objetivos: Lo primero es lo primero: piense en lo que quiere conseguir con este plan. Obviamente, minimizar el riesgo y el impacto de una interrupción es su máxima prioridad.
2. Evaluar departamentos y riesgos: Empiece por evaluar a fondo cada departamento de su empresa y haga una lista de las lagunas de seguridad que pueden provocar tiempos de inactividad no deseados y aborde cada una de ellas. El comportamiento de los empleados también puede ser una vulnerabilidad de seguridad debido a la ingeniería social y a los ataques de ransomware.
3. Formar el equipo: Ningún plan está completo sin un equipo. Asegurarse de que todos los miembros son plenamente conscientes de sus funciones y responsabilidades.
4. Clasificar datos y cargas de trabajo: El tercer paso consiste en clasificar los datos en función de su importancia. En otras palabras, debe determinar qué cargas de trabajo son cruciales para mantenerse operativo y generar ingresos. Por ejemplo, dé prioridad a los datos sujetos a normativas, las máquinas que contienen registros financieros y los sistemas de facturación, entre otros, para evitar largos periodos de inactividad, daños irreparables y problemas de conformidad.
5. Definir objetivos de recuperación (RTO y RPO): Una vez que sepa qué datos y máquinas son críticos para la continuidad de su organización, podrá decidir los objetivos de recuperación para cada tipo de máquina y datos. Uno de los pasos principales es determinar los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO).
6. Pruebas y ejercicios: Es aconsejable realizar simulacros de emergencia para garantizar que todos los participantes estén preparados y puedan cumplir con sus responsabilidades lo antes posible.
7. Actualización constante: Se recomienda actualizar el plan de continuidad de negocio al menos una vez al año. Además, debe revisarse cada vez que se produzcan cambios significativos en la organización, la tecnología o el entorno regulatorio.

El Papel de la Ciberseguridad en el PCN

En el contexto de la ciberseguridad, un Plan de Continuidad de Negocio es de vital importancia. Las ciberamenazas son uno de los riesgos más importantes para la continuidad de las empresas en la era digital. Un PCB puede ayudar a las organizaciones a prepararse, responder y recuperarse de los ciberataques.

Las ciberamenazas suponen un riesgo importante para la continuidad de las empresas. Estas amenazas pueden adoptar diversas formas, como malware, ataques ransomware, phishing y ataques de denegación de servicio (DoS). Un plan de continuidad de negocio puede ayudar a las organizaciones a mitigar estos riesgos definiendo los pasos a seguir en caso de ciberataque.

Un PCB desempeña un papel crucial en la respuesta a los ciberincidentes. Cuando se produce un ciberincidente, la organización debe actuar con rapidez para minimizar el impacto. Además, el PCB también guía el proceso de recuperación tras un incidente cibernético.

Fases de la Respuesta a un Incidente y el PCN

El Manual del Plan de Continuidad de Negocio (PCN) es un documento integral de capacitación y referencia para la Alta Dirección, el Gerente de Gestión (FM) y los usuarios de la empresa, con el fin de gestionar cualquier incidente que pueda interrumpir las operaciones. El Plan de Continuidad de Negocio facilita la coordinación general de la respuesta ante una emergencia, a menudo con un factor sorpresa y un breve margen de decisión.

Contingencia: La organización establece una capacidad y preparación generalizadas para abordar eficazmente cualquier incidente o desastre importante que ocurra.

Estructura del Equipo de Respuesta:

• Resumen del Equipo de Dirección Ejecutiva: El Equipo de Dirección Ejecutiva proporciona la dirección y coordinación general de las actividades estratégicas de respuesta ante crisis.
• Equipo de Gestión de Crisis: El Equipo de Gestión de Crisis proporciona la dirección y coordinación general de las actividades estratégicas de respuesta ante crisis. La respuesta inicial a una interrupción del negocio se gestionará como una crisis y será coordinada por el Gestor de Crisis.
• Función del Equipo de Respuesta a Emergencias del Proyecto (FM): Cada proyecto debe contar con un Equipo de Respuesta a Emergencias que actúe como el primer interviniente en todas las emergencias.

Proceso de Notificación y Respuesta:

1. Notificación Obligatoria al Equipo de Dirección Ejecutiva: Los siguientes incidentes requieren notificación al Equipo de Dirección Ejecutiva:
   • Un empleado, contratista o visitante de negocios sufre una lesión física grave o fallece.
   • Posible interrupción del negocio.
   • Un incidente que ha recibido atención mediática.
   • Un incidente con el potencial de amenazar la reputación corporativa.
2. Notificación Inicial: La notificación inicial de un incidente se realiza al Equipo de Dirección Ejecutiva. Esta notificación inicial puede provenir de un empleado que represente al propietario, inquilino, contratista o administrador del edificio. El Gerente de la Propiedad/Líder del Equipo de Gestión de Crisis (FM o su designado) deberá:
   • Evaluar la situación de inmediato y determinar las medidas de respuesta.
3. Notificar al Equipo de Gestión de Crisis: El Gerente de Crisis notificará a los miembros correspondientes del Equipo de Gestión de Crisis, quienes podrán reunirse por conferencia telefónica o en persona, y realizará lo siguiente:
   • Contactar al Ejecutivo responsable de la propiedad y al Líder del Equipo de Gestión de Crisis (FM) para confirmar el incidente y obtener información adicional desde el informe inicial.
   • Realizar las funciones principales.
4. Notificación al Equipo de Dirección Ejecutiva: El ejecutivo responsable de la propiedad será notificado del incidente inicial con la mayor cantidad de detalles disponibles. El Equipo de Dirección Ejecutiva puede convocar una conferencia telefónica o una reunión presencial para evaluar la situación:
   • El Gestor de Crisis informa a los miembros del Equipo de Dirección Ejecutiva sobre el incidente.
5. Respuesta Inicial: La respuesta inicial probablemente comenzará con el equipo de Seguridad y/o Operaciones; sin embargo, cualquier empleado de Administración del Edificio (FM) puede ser la primera línea de respuesta y debe tomar todas las medidas necesarias para proteger la vida y la propiedad:
   • Tomar las medidas necesarias para ayudar al personal en peligro o herido.
   • Asegurar el acceso a todas las áreas de la propiedad.
   • Proteger la propiedad de daños adicionales, si es posible.
6. Estabilización: Una vez realizadas las actividades iniciales de respuesta, el Gestor de Crisis activará los equipos necesarios para contener la situación, mantener el control de las propiedades y establecer un entorno que permita la gestión simultánea de la crisis, así como la continuación o reanudación de las operaciones comerciales críticas.
   • Activar a los miembros del equipo de Gestión de Crisis según sea necesario.
   • Evaluar el estado de los espacios físicos, las redes de datos y la disponibilidad del personal.
7. Activación: Movilizar a los miembros pertinentes del Equipo de Gestión de Crisis al Plan de Continuidad de negocio (PCN). En las primeras etapas, este plan debe desarrollarse con rapidez, incluso con información situacional incompleta.
8. Plan de Acción ante Incidentes: Un Plan de Acción ante Incidentes se desarrolla para periodos operativos definidos, diseñados para un plazo específico con el fin de alcanzar un conjunto de objetivos. La planificación implica:
   • Evaluar la situación.
   • Desarrollar los objetivos del incidente.
   • Seleccionar una estrategia.
9. Revisión Post-Incidente: Tras cualquier incidente, se debe realizar una revisión post-incidente. El procedimiento para esta revisión es el siguiente:
   • Un miembro del Ejecutivo de Gestión de Crisis se reunirá con todos los miembros activados de los Equipos de Gestión de Crisis y de los Equipos de Respuesta a las Emergencias del Edificio (FM), dentro de los 30 días posteriores a la desactivación.
   • Se revisará toda la información y los datos pertinentes recopilados durante la respuesta.
   • Se realizarán entrevistas con empleados, inquilinos y/o contratistas de la Propiedad y la Corporación involucradas para proporcionar información importante no proporcionada en la consulta original.
   • Se determinará la causa probable de la crisis.
   • Se recomendarán posibles medidas correctivas para la Propiedad afectada y cualquier otra Propiedad que pueda verse afectada por una emergencia similar.

Ejemplos y Lecciones Aprendidas

El pasado 28 de abril se vivió un momento inédito en España. Nuestro país, literalmente, se apagó. No se recordaba una crisis parecida desde hace un lustro, cuando se desató la pandemia del coronavirus. Infraestructuras críticas como hospitales, banca y operadores de telecomunicaciones pudieron en algunos casos continuar con su operativa sin problemas y, en otros, paliar la situación con rapidez. La respuesta no estuvo en la improvisación, sino en la previsión, al haberse puesto hace años en manos de empresas especializadas en la elaboración de los denominados PCN (Planes de Continuidad de Negocio).

En el caso de un evento como el reciente apagón, se expusieron de forma crítica múltiples vulnerabilidades, a menudo conectadas entre sí provocando fallos en cadena. En infraestructuras de IT vemos cómo la climatización de los centros de datos es vital. Un fallo energético puede provocar sobrecalentamiento y daños en cascada. Es una situación que se desarrolla como un dominó, ya que proveedores y clientes clave se ven a su vez afectados, por lo que la situación se agrava exponencialmente.

Errores Recurrentes en la Alta Dirección:

• Falta de compromiso, considerando los PCN como un trámite o un coste más que una inversión estratégica.
• No adaptar el plan a la realidad específica de la organización, o no mantenerlo actualizado a una realidad cada vez más cambiante.
• Hacer simulacros muy parciales, poco profundos, en lugar de pruebas realistas que validen las estrategias y tiempos de recuperación.
• No establecer canales de comunicación alternativos y robustos para la gestión de la crisis, lo que dificulta su resolución.

Para mitigar estos riesgos, es interesante disponer de generadores eléctricos propios (diésel, baterías industriales o energía fotovoltaica con respaldo), con autonomía suficiente para operar al menos 48-72 horas. Se hace crítico también disponer de alternativas en el área de comunicación, con sistemas resilientes, como internet satelital, y protocolos offline. Por otra parte, en una era tan digital como la que vivimos es interesante mantener copias actualizadas en papel de procedimientos críticos, listas de contactos, contratos clave o planes de actuación.

El apagón del 28 de abril nos dejó una lección clara: la interdependencia entre empresas y el bienestar social es innegable. En un mundo donde la disrupción es la nueva normalidad, no invertir en continuidad de negocio es una apuesta demasiado arriesgada, no solo para las empresas, sino para el engranaje social.

Consideraciones Regulatorias y Económicas

Muchas normativas y estándares de seguridad exigen que las organizaciones implementen planes de continuidad. En ciertos sectores, como el financiero o sanitario, la implementación de un PCN es obligatoria para cumplir con normativas y estándares de seguridad. En otros casos, aunque no sea mandatario, su adopción es altamente recomendable para garantizar la resiliencia operativa.

El coste de implementar un Plan de Continuidad de Negocio varía según la complejidad y tamaño de la organización. Aunque la inversión inicial puede resultar significativa, suele ser menor en comparación con las pérdidas que podría evitarse en caso de una interrupción.