Qué hay que hacer para prevenir y estar listo ante una interrupción no deseada o desastre, y poder restaurar las funciones críticas en un tiempo predeterminado.
Un plan de continuidad de negocio (también llamado BCP, por sus siglas en inglés) gestiona cómo una organización debe recuperarse después de sufrir una interrupción no deseada o desastre, y poder restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado.
Es importante tener presente que este tipo de planes deben combinarse con otros, como los DRP (Disaster Recovery Plan) y BCM (Business Continuity Management), ya que estos complementan el procedimiento de acciones que deben tomarse para darle la continuidad a un negocio ante un evento no deseado.
“Estos planes conforman una parte vital de la gestión de seguridad de sistemas de información, ya que sirven para prevenir y manejar eventos no deseados con el objetivo de dar continuidad al negocio de la manera más eficiente y menos costosa posible”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica, compañía que explica los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
1. Identificar y ordenar las amenazas
Luego de identificar los productos, servicios o funciones clave para una organización y más tarde realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de las 4P (Personas, Procesos, Beneficios y Asociaciones), hay que crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.
Por otra parte, es necesario plantearse algunas preguntas: ¿Qué ocurre donde se encuentra la empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Está ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realizar un análisis del impacto en la empresa
Se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la firma y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.
De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias. Esto permitirá determinar la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
Vea también: Los costos que tendrán los ciberdelitos en 2023
3. Crear un plan de respuesta y recuperación
En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos.
Se necesitará determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se necesitará una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considerar quedarse con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de IT temporales, de ser necesario. No olvidar documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis
La mayoría de los expertos en planes de continuidad de negocios recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que se invirtió en la creación del plan, pudiendo detectar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, lo que sugiere que siempre conviene mantener, revisar y actualizar continuamente el plan de continuidad de la actividad.
“No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considere comenzar por unos pocos departamentos o una sola oficina. Todo lo que vaya aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses —explica Amaya—. Evite a toda costa pensar que las cosas malas no suceden, porque sí pasan: Sólo tiene que estar preparado. Y no pretenda que cuando ocurra algo no será tan malo, porque podría serlo”.