Una empresa que vea cómo un incidente interrumpe alguno de sus servicios, tendrá unas consecuencias negativas financieras, de reputación e incluso de pérdida de clientes.
Por eso es necesario que todas las empresas dispongan de un plan de continuidad de negocio y contingencias, que les permita estar preparadas ante cualquier incidencia o problema que afecte a sus servicios.
Son muchas las razones que pueden hacer que los sistemas, equipos o procesos de una empresa dejen de funcionar, desde ataques externos como malware y errores no intencionados de usuarios, hasta fallos de hardware o desastres naturales (como incendios o inundaciones).
En este artículo hablaremos sobre qué es un plan de continuidad y contingencias en un negocio, por qué es importante implementarlo y cómo definir un plan de negocio para una empresa.
Un plan de continuidad de negocio determina cómo puede continuar una empresa ofreciendo sus servicios en el caso de que, por alguna circunstancia, sus sistemas sufran de algún problema. El plan de continuidad y contingencias de un negocio debe recoger la estrategia que sigue la empresa para cumplir los objetivos básicos del plan, que son:
Se denomina BCM (Business Continuity Management) o la gestión de la continuidad de negocio al proceso que se realiza para mantener la continuidad del negocio ante situaciones que impidan o interrumpan los servicios.
Como ya hemos visto, los dos objetivos del plan de continuidad del negocio son continuar con los procesos y minimizar el impacto de las incidencias, ante situaciones de interrupción o cese de la actividad empresarial.
La gran dependencia de las empresas con las tecnologías hace que las incidencias puedan ser causadas por múltiples factores de riesgo, por lo que, disponiendo de un plan de contingencias, estarán preparadas para lidiar con los mismos.
Los principales beneficios que se obtienen al implementar un plan de continuidad y contingencias de un negocio son:
Para definir e implementar un plan de continuidad y contingencia del negocio que garantice la continuidad de los servicios, hay que definir una serie de fases.
Podemos definir las siguientes fases en orden cronológico:
En esta primera fase hay que determinar aquellos procesos, sistemas o activos que son fundamentales para la empresa, es decir, que su indisponibilidad supone un impacto negativo, causando un cese temporal en la actividad.
El BIA (Business Impact Analysis) o análisis de impacto sobre el negocio, es un documento que recoge los requerimientos en recursos y tiempo de los distintos procesos que abarca el plan de continuidad. Con la información proporcionada en este análisis, se podrá escalar la prioridad a la hora de recuperar los distintos procesos y aplicaciones.
Dentro de este documento se medirán variables como el tiempo de recuperación de un proceso hasta ser restaurado (RTO), los recursos empleados en cada situación de contingencia (humanos y tecnológicos), el tiempo máximo tolerable de caída del servicio (MTD), el nivel mínimo de recuperación de una actividad para ser considerada recuperada (ROL), la dependencia entre procesos, y el impacto que produciría en la empresa la pérdida de datos.
También debe realizarse un análisis de riesgos donde se recojan las posibles amenazas a las que se puede enfrentar la empresa y las posibilidades existentes de que esas amenazas se materialicen (y el daño que puedan causar).
Se debe crear un plan de respuesta y recuperación para cada uno de los elementos identificados como críticos. Todo este proceso debe generar una serie de documentos donde se recoja el plan de acción en caso de alguna contingencia.
Una vez el plan está diseñado hay que probarlo para ver que funciona y poder detectar puntos débiles o erróneos. Para ello hay que realizar pruebas donde se simulen situaciones reales de incidencias que afecten a los servicios, para así activar el plan y ver los resultados.
De estos test debe realizarse un informe detallado sobre la aplicación del plan de continuidad y los resultados obtenidos, para que sirva como base para establecer medidas correctoras y posibles actualizaciones.
Tener la seguridad de que un negocio se recupera en el menor tiempo posible, es el principal objetivo de disponer de un plan de continuidad de negocio. Minimizar los riesgos y disminuir el tiempo de caída de los servicios es fundamental para evitar pérdidas importantes en la empresa a nivel económico, de imagen y de competitividad.
La implantación de un plan de continuidad y contingencias en un negocio sigue una serie de fases desde analizar las amenazas y riesgos, diseñar los planes de acción ante cada uno de ellos, priorizando los servicios y tareas más importantes, hasta la comprobación de los distintos sistemas y su funcionamiento.
Los planes de continuidad del negocio no son solo exclusivos de grandes empresas y corporaciones. Hoy en día las pymes e incluso los autónomos dependen de la tecnología para poder acceder a sus procesos y servicios. Cada plan de contingencias debe adaptarse a las distintas necesidades de cada empresa realizando un profundo análisis de los riesgos y amenazas que puedan detener o interrumpir la actividad.
En este sentido, a medida que la tecnología avanza se requiere conocer, desarrollar y establecer medidas de seguridad que garanticen la continuidad operativa de un negocio.
En Ambit BST constituimos un equipo multidisciplinar orientado a la identificación de riesgos y controles en la gestión de las TI. Si quieres conocer más de las soluciones que te podemos ofrecer, no dudes en ponerte en contacto con nosotros.