Plan de Continuidad de Negocio: Esencial para la Resiliencia Bancaria

La seguridad al 100% no existe. Las empresas deben estar preparadas para protegerse y reaccionar ante posibles incidentes de seguridad que pudieran dañar la capacidad operativa o hacer peligrar la continuidad del negocio. Los imprevistos llegan cuando menos se esperan: apagones, ciberataques o crisis sanitarias. Frente a estos escenarios, la continuidad del negocio deja de ser una opción para convertirse en un factor esencial de resiliencia.

En un contexto social propenso a cambios sociales, financieros y políticos, contar con un plan de continuidad del negocio es, a todas luces, esencial para la supervivencia de las organizaciones. La continuidad del negocio se refiere a la capacidad de una organización para mantener las funciones empresariales cruciales, minimizar las interrupciones y reanudar las operaciones normales con un tiempo de inactividad mínimo cuando se produce una crisis.

Cuando todo parece detenerse, las organizaciones que cuentan con un plan de continuidad son las que logran seguir adelante. Anticipar riesgos y prepararse para escenarios inciertos no solo evita pérdidas, también asegura confianza y estabilidad en los momentos más desafiantes.

¿Qué es un Plan de Continuidad de Negocio (PCN)?

Un plan de continuidad del negocio (BCP), o Plan de Contingencia y Continuidad de Negocio, detalla los pasos que seguirá una organización para volver a las funciones comerciales normales en caso de desastre. Los BCP son una estrategia proactiva de continuidad del negocio para mantener las funciones empresariales antes, durante e inmediatamente después de una interrupción.

Estos mecanismos ayudan a mantener el nivel de servicio en unos límites predefinidos, establecerán un periodo de recuperación mínimo, recuperarán la situación inicial anterior al incidente, analizarán los resultados y los motivos del incidente, y evitarán la interrupción de las actividades corporativas. El objetivo principal de la continuidad del negocio es garantizar la resiliencia organizacional.

Un plan bien diseñado protege ingresos, fortalece la reputación y garantiza el cumplimiento de normativas, incluso bajo presión. En caso de desastre, el hecho de tener definido y poder aplicar un Plan de Contingencia y Continuidad de Negocio repercutirá positivamente en la imagen y reputación de la empresa, además de mitigar el impacto financiero y de pérdida de información crítica ante estos incidentes.

Riesgos de no contar con un PCN

Sin un plan de continuidad del negocio, las empresas son vulnerables a toda una serie de incidentes. Esta falta de gestión de la continuidad del negocio (BCM) puede ser costosa. Por ejemplo, el coste medio de una vulneración de datos en 2023 fue de 4,45 millones de dólares, según el informe "Cost of Data Breach" de IBM. Tras una pérdida de este tipo, a las empresas les puede resultar difícil recuperarse. Sin un PCN, las organizaciones se arriesgan a interrupciones prolongadas, pérdida de confianza de los clientes, sanciones regulatorias e incluso el cierre permanente.

Un Plan de Continuidad de Negocio es vital para proteger a las organizaciones de interrupciones inesperadas.

Conceptos Clave y Marco Normativo

La planificación de la continuidad del negocio se basa en una serie de conceptos fundamentales que guían su elaboración e implementación:

• Análisis de Impacto en el Negocio (BIA): Evalúa las diversas funciones empresariales para determinar posibles riesgos, amenazas y vulnerabilidades, identificando los procesos críticos y las consecuencias de su interrupción.
• Objetivo de Tiempo de Recuperación (RTO): Es la cantidad de tiempo que se tarda en restaurar los procesos empresariales tras un incidente imprevisto.
• Objetivo de Punto de Recuperación (RPO): Se refiere a la cantidad de datos que una organización puede permitirse perder en caso de desastre y aún así recuperarse.

Aunque los planes de continuidad del negocio y de recuperación ante desastres son planes de contingencia, cada uno aborda la gestión de crisis de manera diferente. Los BCP se centran en mantener las funciones empresariales críticas, mientras que los planes de recuperación ante desastres (DRP) se enfocan en la restauración de sistemas y datos. Un plan de recuperación ante desastres de continuidad de negocio (BCDRP) combina ambas estrategias, abordando tanto la resiliencia operativa como la tecnológica.

La importancia de formular un BCM es tal que ya existe la norma ISO 22301, que provee un marco de referencia para aplicar medidas de emergencia y sortear las crisis. Esta norma estandariza la aplicación de estos planes, aunque muchas empresas buscan simplemente contar con planes de contingencia que les permitan hacer frente a los peores escenarios, sin necesariamente buscar la certificación.

Fases para la Elaboración e Implementación de un Plan de Continuidad de Negocio

Desarrollar un BCP eficaz implica un proceso estructurado que garantiza la preparación ante cualquier eventualidad:

1. Análisis del Impacto Empresarial (BIA) e Identificación de Amenazas

Un análisis del impacto empresarial (BIA) es una parte crucial de la gestión de riesgos y sirve como primer paso en el proceso de planificación. Implica una evaluación de riesgos para valorar diversas funciones empresariales y determinar los posibles riesgos, amenazas y vulnerabilidades. La tarea en esta etapa es imaginar los peores escenarios posibles y cómo afectarían las funciones primarias de la empresa.

El ejercicio tiene sentido siempre que se haga con los escenarios más probables según el entorno y las condiciones de la empresa. No todas las amenazas tienen el mismo impacto ni la misma probabilidad. Este proceso supone la identificación de las funciones y procesos (y, también, empleados) que son vitales para su funcionamiento, la evaluación del daño que han sufrido y las consecuencias que va a tener su interrupción a todos los niveles.

En esta fase es muy útil que el personal se reúna para reflexionar sobre cómo afectarían las diversas amenazas a sus tareas, sus puestos de trabajo o sus departamentos. Una manera útil de hacerlo es mediante la realización de entrevistas. La participación de todos ayudará a dimensionar y entender mejor las amenazas, obteniendo respuestas que ayuden a distinguir las funciones importantes que la empresa priorizaría en caso de que una amenaza se hiciera real.

2. Diseño de Estrategias de Recuperación y Medidas de Mitigación

Para cada evento identificado, las empresas deben diseñar una respuesta adecuada, ya que cada incidente requiere un nivel de respuesta diferente. En base a lo obtenido en la evaluación de riesgos, y sabiendo el impacto que va a tener la contingencia, el siguiente paso al hacer un plan de continuidad del negocio es el desarrollo de las estrategias que ayudarán a reconducir la situación y superar el problema.

Las estrategias se centrarán en la mejor manera de hacer funcionar los bienes y funciones clave de forma parcial, de sustituirlos o de movilizarlos. Algunas soluciones pueden ser contratar a terceros ciertos procesos o tareas, movilizar los centros de trabajo administrativos hacia lugares cercanos no afectados, mantener copias de seguridad en la nube o almacenar ciertos datos en registros físicos actualizados constantemente. Es fundamental concentrarse en la redundancia, los mecanismos de conmutación por error y la seguridad del acceso a los datos.

Mantener registros telefónicos es una de las primeras medidas incluidas en un BCM, pues gran parte del plan requiere saber a quién llamar y en cuál escenario hacerlo, así como también quién o quiénes pueden hacerlo.

3. Definición de Roles, Responsabilidades y Comunicación

Durante este paso, los líderes empresariales y las partes interesadas designarán a los miembros clave del equipo que pondrán en marcha el plan y guiarán los esfuerzos de respuesta y recuperación. Un BCP eficaz define claramente las responsabilidades de cada miembro del equipo y describe los recursos necesarios para cumplir sus funciones. Es fundamental que en el plan de continuidad del negocio se definan las responsabilidades de cada empleado, en caso de emergencia, y, en base a ellas, se establezcan unas tareas (en orden de prioridad) a realizar si esta se produce. También es crucial eliminar las barreras de comunicación, garantizando la colaboración interdepartamental y una comunicación predefinida con las partes interesadas.

4. Pruebas, Capacitación y Mantenimiento Continuo

Para demostrar la solidez de un BCP, las organizaciones deben someterlo a pruebas periódicas y revisiones continuas. La formación es esencial para concienciar a los empleados sobre las posibles amenazas, mientras que los ensayos frecuentes de situaciones realistas pueden ayudar a detectar problemas y oportunidades de mejora.

El plan de continuidad del negocio es efectivo si los empleados lo conocen y, sobre todo, si se les ha impartido la formación necesaria, lo que supone la realización de sesiones que ayuden a saber y entender cuáles son sus roles y sus responsabilidades en caso de que se produzca una contingencia. Así como los productos y servicios deben probarse antes de salir al mercado, lo mismo ocurre con los planes de continuidad de negocio. Los riesgos asociados a una empresa suelen cambiar con el paso del tiempo, lo que subraya la necesidad de una revisión constante.

El proceso de implementación de un PCN es cíclico y requiere revisión constante.

La Continuidad del Negocio en el Sector Bancario: Ejemplos y Regulaciones

La continuidad del negocio es un requisito regulatorio crítico en sectores como el financiero. La gestión de continuidad de negocio (GCN) en un banco es un proceso de gestión integral que identifica los riesgos e interrupciones potenciales a sus operaciones y los impactos que estos podrían causar en caso de materializarse, proporcionando el marco adecuado de priorización para construir la resiliencia organizacional y reforzar la capacidad de respuesta efectiva a los riesgos identificados.

La GCN tiene en cuenta tanto los procesos de la organización como el entorno del negocio, y establece las estrategias, planes y recursos para prevenir, prepararse, responder, recuperarse, reanudar operaciones y retornar a la normalidad de manera efectiva y sostenible.

En el Banco de la República, por ejemplo, la continuidad se gestiona en dos niveles de respuesta: estratégico (gestión de desastres) y táctico (gestión de continuidad operativa y tecnológica y gestión de emergencias):

1. Plan de Continuidad de Negocio

   Es el conjunto de información detallada que describe los procedimientos operativos, los sistemas y recursos que permiten a la organización mitigar los riesgos operativos derivados de una potencial interrupción parcial o total de los servicios críticos y prepararla para su uso durante y después de una interrupción.

2. Programación y Resultados de Pruebas de Contingencia

   Las pruebas son ejercicios definidos que tienen como objetivo evaluar el funcionamiento del SGCN en general o en alguno de sus componentes, detectar nuevos escenarios, analizar la resiliencia de los procesos existentes, proporcionar información y confianza a los participantes, aumentar la conciencia del personal en temas de continuidad de negocio y evaluar el tiempo de restauración de los procesos.

   En conjunto con el DSTI, se establece un cronograma anual de pruebas para los nodos tecnológicos del Banco: dos pruebas de conmutación del centro de cómputo principal (PN) al centro alterno (SN) y pruebas al tercer nodo tecnológico (TNT).

3. Protocolos de Desastres (crisis no financiera)

   El Consejo de Administración aprobó la priorización de las actividades misionales que el Banco debe cumplir ante la declaratoria de un evento de desastre, esto para garantizar la continuidad durante una emergencia y recuperación de un incidente que amenaza la vida, la propiedad, las operaciones o el medio ambiente.

   Reglamentación Asociada a Eventos de Desastre:

   • Resolución interna que crea y reglamenta el Comité de Atención de Desastre.
   • Compendio de la Circular Externa Operativa y de Servicios sobre Procedimientos de las Operaciones para Regular la Liquidez de la Economía.
   • Compendio de la Circular Externa Operativa y de Servicios sobre Pago para provisión de fondos en moneda nacional.
   • Compendio de la Circular Externa Operativa y Servicios sobre Cuentas de depósito y Sistema de Cuentas de Depósito (CUD).

   Dentro de la priorización de actividades misionales, se estableció como primera prioridad "que la economía pueda hacer pagos", lo cual incluye garantizar la provisión de efectivo a los establecimientos de crédito en un evento de desastre.

Ejemplo de un Plan de Continuidad Bancario frente a un Ciberataque

Imaginemos que un banco sufre interrupciones frecuentes en sus canales digitales. Cada caída de su plataforma en línea afecta la confianza de miles de clientes y pone en riesgo la continuidad de los servicios más críticos. Con una implementación efectiva de la continuidad del negocio, la institución puede mapear sus procesos esenciales, ejecutar un análisis de impacto en el negocio (BIA) revelando múltiples vulnerabilidades, y establecer objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO) claros para cada servicio.

Gracias a los controles de seguridad de la información, se automatizan respaldos y se definen protocolos de recuperación específicos para la banca digital, reduciendo el RTO a solo dos horas. Además, con tableros de análisis en tiempo real, la dirección de la entidad tendrá visibilidad inmediata sobre el estado de cada riesgo y podrá reaccionar con rapidez. En menos de tres meses, el banco podrá reducir significativamente su nivel de exposición, optimizar tiempos de respuesta y recuperar la confianza de sus clientes.

Este ejemplo demuestra cómo la gestión de continuidad del negocio convierte la teoría en acciones concretas y medibles. Si una empresa de servicios financieros sufre un ciberataque repentino que cierra su sitio web, con un Plan de Continuidad de Negocio implementado, la empresa puede actuar con rapidez. Se activan sistemas de respaldo para mantener las operaciones esenciales en línea, mientras que los canales de comunicación predefinidos garantizan que empleados y clientes reciban actualizaciones oportunas. El plan también incluye protocolos de colaboración que mantienen alineados a los equipos de TI, cumplimiento normativo y atención al cliente.

La integración de ciberseguridad y PCN es fundamental para proteger las operaciones bancarias.

Tecnología al Servicio de la Continuidad Bancaria

Las soluciones tecnológicas modernas son cruciales para una gestión eficaz de la continuidad del negocio. Estas herramientas especializadas integran el análisis de impacto en el negocio, controles basados en estándares como la norma ISO 27001 (un estándar internacional para la gestión de la seguridad de la información), y tableros dinámicos en un solo entorno digital.

Su diseño permite que las organizaciones documenten cada acción, asignen responsables, centralicen evidencias y generen reportes automáticos que facilitan auditorías y revisiones. Entre sus funcionalidades más destacadas se encuentran la capacidad de realizar análisis de impacto en el negocio (BIA), aplicar controles precargados, centralizar la gestión documental, desplegar tableros en tiempo real y operar en la nube bajo una arquitectura robusta y segura.

Un Plan de Control de Riesgos (BCP) de TI garantiza que los sistemas tecnológicos, como servidores, aplicaciones y plataformas en la nube, permanezcan disponibles durante interrupciones. La continuidad del negocio de la red se centra en mantener la conectividad, el acceso a los datos y los sistemas de comunicación durante una interrupción. Proporcionan una consola de gestión con supervisión centralizada, y ofrecen orientación basada en inteligencia artificial para ayudar a reducir el tiempo de inactividad, las pérdidas financieras y el riesgo reputacional. Los paneles de control e informes son esenciales para supervisar la resiliencia, el cumplimiento normativo y los incidentes activos de la organización.

Ejemplo de Objetivos de Recuperación Típicos en la Banca

La siguiente tabla muestra ejemplos de Objetivos de Tiempo de Recuperación (RTO) y Objetivos de Punto de Recuperación (RPO) para diferentes servicios bancarios, ilustrando la criticidad y las expectativas de recuperación.

Estos valores son ejemplos y pueden variar significativamente según la institución, la regulación y la criticidad específica del servicio.