En el mundo empresarial y digital actual, ¿quién no ha oído hablar de continuidad de negocio? Si bien es cierto que aún es una expresión poco generalizada, hay que reconocer que está tomando mucha fuerza en el contexto corporativo dada la coyuntura actual, donde las empresas de todos los tamaños, industrias y orígenes están más expuestas que nunca a muchos factores externos que pueden afectar sus operaciones y la disponibilidad de la información interna. Sin embargo, lo que pocos saben es que la continuidad de negocio involucra una extensa variedad de elementos, procesos, roles, responsabilidades, etc que van más allá de sólo los relacionados con el área de Tecnologías de la Información (TI). Para este último caso, se ha acuñado una expresión especifica que puede ser también muy conocida para algunos: Plan de Recuperación de Desastres o DRP.
Para tener una mejor comprensión de la relación/ diferencia de ambos conceptos, es necesario dar una definición de cada uno y especificar el alcance que ellos tienen.
Plan de Continuidad del Negocio – BCP: es un documento donde, como su nombre lo indica, se realiza una planificación detallada de cómo se realizará el restablecimiento de las operaciones del negocio, en caso de ocurrencia de un incidente (inundaciones, incendios, terremotos, ciberataques, etc). Allí se deben incluir todas las actividades a realizar, al igual que los roles y responsabilidades que se deben cumplir para garantizar la reactivación correctamente.
Plan de Recuperación de Desastres – DRP: se trata de un plan contenido dentro del BCP y tiene que ver directamente con el departamento de TI. En este documento se contiene el Plan de Acción y actividades necesarias para reactivar los sistemas informáticos tras algún suceso innesperado (ataques cibernéticos, desastres naturales, apagones, entre otros).
De acuerdo con estos conceptos y el rol que cada uno desempeña dentro de las estrategias organizacionales, puede entenderse porqué están ganando relevancia en el contexto empresarial de hoy en día. Esto es especialmente claro cuando se observa la facilidad con la que incidentes de ciberseguridad o desastres (ya sean naturales o de otra índole) afectan a las compañías, sus infraestructuras tecnológicas y físicas, por tanto, entorpecen la continuidad del negocio. En este punto, es importante hacerse conscientes, ante todo, que ninguna empresa en la parte del planeta que sea está exenta de ser afectada por una eventualidad de cualquier tipo, que conlleve a la paralización de sus actividades, pérdida de la disponibilidad de la información o incluso pérdida completa de la información.
Entendiendo esta vulnerabilidad a la que se encuentran expuestas las organizaciones, además de su creciente dependencia de las Tecnologías de la Información (TI), desde hace años surgió la necesidad de establecer estrategias y acciones que permitieran restaurar en el menor tiempo los servicios tecnológicos y, así, mitigar el impacto a la continuidad del negocio. A través de los años y gracias, entre otras cosas, a la ocurrencia de desastres de gran impacto a nivel mundial, se realzó la importancia de establecer planes de Recuperación de Desastres y de Continuidad del Negocio dentro de las empresas.
Veamos ahora cuáles son los elementos mínimos que debe tener tanto un DRP como un BCP, los pasos clave para su construcción y otras consideraciones fundamentales para su implementación.
Elementos básicos de un Plan de Recuperación de Desastres (DRP):
- Llevar a cabo una evaluación de los riesgos a los cuales pueda estar expuesta la organización, con el fin de identificarlos, analizarlos y avaluar su impacto en caso de ocurrir.
- Realizar un Análisis de Impacto al Negocio (BIA) donde se tenga una mejor comprensión de qué sucederá con los procesos del negocio si llega a ocurrir algún evento que impacte a la infraestructura TI y sus servicios. Este análisis es fundamental pues ayudará a definir el Tiempo Objetivo de Recuperación (RTO) que se define como “período permitido para la recuperación de una función o recurso de negocio a un nivel aceptable luego de un desastre” (ESET, 2014) y el Punto Objetivo de Recuperación (RPO) cuya definición dice “la antigüedad máxima de los datos para su restauración, con base en los requisitos del negocio.” (ESET, 2014)
- Formular las estrategias de recuperación y continuidad. Se deben definir todas las acciones que deben seguirse para garantizar la recuperación y continuidad del negocio y, en caso de ser necesario, establecer distintos planes especificos.
- La difusión y capacitación de los planes es un aspecto clave. Es fundamental que todo el personal, especialmente los responsables de las actividades establecidas, estén enterados sobre éste. Es altamente relevante que también se realicen pruebas de los planes para asegurar su correcto funcionamiento, haciendo los ajustes, adiciones o actualizaciones necesarias.
Tener en cuenta todos estos aspectos es vital para desarrollar un DRP adecuado que permita a las organizaciones estar preparadas, adelantarse ante cualquier eventualidad y garantizar la continuidad del negocio de manera rápida y eficaz.
Elementos de un Plan de Continuidad del Negocio (BCP):
- Estrategia que comprenda todas las acciones a realizar para asegurar la continuidad del negocio.
- Organizar todos los elementos, roles, responsabilidades, comunicaciones que deben realizarse en el periodo posterior a la ocurrencia.
- Incluir todas las aplicaciones que se consideren necesarias para la correcta restauración y operación del negocio. De igual manera, se deben tener en cuenta los procedimientos para la instalación de estos programas.
- Deben relacionarse todos los procesos corporativos y de TI críticos para garantizar la apropiada restauración y continuidad del negocio.
- Relacionar todos los elementos tecnológicos de los sistemas y redes que permitan la operación. Incluye, también, las copias de seguridad de las aplicaciones y datos.
- Finalmente, tener en cuenta un sitio donde se pueda ejecutar un DRP en caso de que el sitio principal sea inutilizable.
Tener en consideración cada uno de estos elementos es vital para que las empresas sobrevivan y puedan retomar su operación en el menor tiempo posible, puesto que entre menor sea la cantidad de tiempo de inactividad de la empresa, mayor probabilidad de reducir las pérdidas causadas por ella.
Por otro lado, y, al igual que en el DRP, es importante que al momento de elaborar un BCP se tengan identificadas las distintas amenazas, riesgos y vulnerabilidades que puedan afectar la actividad principal de la compañía. Esto con el objetivo de priorizarlas y elaborar distintos planes de acción y tareas que ayuden a prevenirlas, mitigarlas y restaurar las actividades en caso de ocurrencia de las mismas.
Asimismo, entre la variedad de elementos que debe contener un Plan de Continuidad del Negocio y un Plan de Recuperación de Desastres, tal vez uno de los más importantes y vitales para su funcionamiento es la estrategia de Copias de Seguridad.
Dicha estrategia permitirá a cada organización salvaguardar un duplicado o respaldo de su información, en especial, la de mayor criticidad para la operación del negocio, con el fin de restaurar la continuidad del negocio en el menor tiempo posible. Para ello es necesario que cada compañía haga una clasificación y priorización de la información que pretende respaldar y, así, darle un tratamiento adecuado según su categorización.
Igualmente es importante realizar varias copias de las información, almacenadas en distintos sitios con el fin de asegurar la integridad de, por lo menos, una de ellas que permita reestablecer la operación sin problemas. En este punto, la mejor práctica recomendable es la estrategia 3-2-1, en donde se realicen 3 copias de seguridad, 2 de ellas almacenadas en soportes distintos (cintas, NAS, disco, entre otros) y 1 en un almacenamiento externo a la empresa, como la nube por ejemplo.
Por último, pero no menos importante, es recalcar la importancia de realización de copias de seguridad periódicas. Entre más actualizados se encuentren los respaldos de información, menor será el riesgo de pérdida de datos críticos ante una eventualidad. Esto permitirá que la gestión de la continuidad del negocio sea más eficaz. En este caso, es aconsejable optar por soluciones integrales de backup y restauración que permitan, no solo gestionar copias de manera segura, rápida y automatizada, sino que también realicen una ágil y eficaz restauración de datos en tiempos mínimos, de acuerdo a los requerimientos de cada empresa. De esta manera, se brinda la tranquilidad de tener la información respaldada y actualizada ante cualquer desastre que pueda ocurrir.
Entendiendo todo lo anterior, es altamente relevante que cada compañía, sin importar su tamaño, ubicación, sector económico, sepa la criticidad de establecer un DRP y un BCP.
En tiempos donde la ciberseguridad, el cambio climático, las guerras y otros hechos externos se están volviendo cada vez más comunes y afectando todo el entorno, la continuidad del negocio debe ser un tema prioritario para todo el mundo empresarial. Eso implica conocer: los riesgos y amenazas que le rodean, el nivel de impacto que pueden ocasionar a los procesos en caso de que se materialicen, las pérdidas que cause una “parálisis” de las actividades principales del negocio, el daño generado por pérdida de información crítica. Tomar consciencia de todos estos aspectos es crucial para entender la continuidad del negocio como algo más que un mero trámite o un requisito por cumplir.
En este contexto, garantizar la disponibilidad de la información es un aspecto clave de la supervivencia de las empresas, no solo en términos de operatividad y competitividad, sino más aún por todos los requerimientos de ley a los que se encuentran sometidas actualmente. El establecimiento de un BCP/DRP es un oportunidad de prevenir y hacer frente a eventos que pudieran llegar a ocasionar posibles sanciones, multas o investigaciones derivadas de pérdida de datos o la afectación de la continuidad del negocio.
Sin embargo, como el diseño de un plan conlleva tener en cuenta muchos aspectos empresariales y externos, siempre es importante dejarse guiar del conocimiento y experticia de un consultor en la materia, para garantizar que se construye una estrategia adecuada e integral, que permita la restauración de los servicios con el menor impacto posible.