Pasos para desarrollar un plan de continuidad empresarial eficaz
Página del artículo
IDEA EQUIVOCADA: “Nuestra gente sabrá qué hacer en caso de emergencia”.
REALIDAD: Ni siquiera los mejores empleados pueden saber qué hacer cuando ocurre un desastre. Dejar que cada uno responda a su manera solo aumenta la confusión. Tener un plan de continuidad empresarial bien documentado con anticipación y capacitar a los empleados para que lo sigan permite que todos estén en la misma sintonía, lo que ayuda a garantizar una recuperación organizada, segura y oportuna.
IDEA EQUIVOCADA: “Tenemos un seguro para cubrir nuestras pérdidas”.
REALIDAD: El seguro por sí solo NO es una estrategia de continuidad empresarial. Una cobertura adecuada es una parte importante y significativa del plan, pero puede que no cubra por completo algunos de los daños periféricos derivados de un evento, como la pérdida de clientes, la pérdida de participación en el mercado o los contratiempos en el desarrollo o el lanzamiento de un nuevo producto. Consulte con su agente de seguros para saber qué cubre y qué no cubre su póliza.
IDEA EQUIVOCADA: "No tenemos tiempo para desarrollar un plan de continuidad del negocio".
REALIDAD: El tiempo que se dedica a desarrollar y mantener un plan de continuidad empresarial es una inversión en su empresa. Sus costos fijos continuarán después de un evento, independientemente de si la empresa está abierta o no. Cuanto más rápido pueda volver a la normalidad en sus operaciones, más probabilidades tendrá de recuperarse del evento con éxito. Con tanto en juego, su empresa no puede darse el lujo de NO tener un plan.
IDEA EQUIVOCADA: "La continuidad del negocio y la planificación de la recuperación ante desastres son lo mismo".
REALIDAD: La continuidad empresarial es un plan proactivo para evitar y mitigar los riesgos asociados con una interrupción de las operaciones. Detalla los pasos que se deben seguir antes, durante y después de un evento para mantener la viabilidad financiera de una organización. La recuperación ante desastres es un plan reactivo para responder después de un evento. Se ocupa de la seguridad y la restauración del personal, las ubicaciones y los procedimientos operativos críticos después de un desastre, y es parte de la planificación de la continuidad empresarial.
Identificar amenazas o riesgos
- Es fundamental comprender los riesgos que pueden dejar vulnerables a empleados, clientes, proveedores, propiedades y operaciones. Las amenazas pueden incluir, entre otras, desastres naturales, ataques maliciosos, cortes de energía y fallas del sistema.
- Identifique los riesgos que tienen más probabilidades de ocurrir en función de factores históricos, geográficos, organizacionales y de otro tipo. Luego, evalúe la probabilidad de cada evento frente a su posible impacto en su negocio, así como su preparación para responder.
- Realizar un análisis de impacto empresarial
- Identifique las personas, los lugares, los proveedores, los procesos y los programas que son fundamentales para la supervivencia de su empresa. ¿Qué funciones y recursos, en caso de interrupción o pérdida, podrían afectar su capacidad para proporcionar bienes y servicios o cumplir con los requisitos normativos?
- Considere quién y qué es absolutamente necesario para restablecer las operaciones críticas. Luego, priorice la necesidad de restaurar cada elemento después del evento. Planifique el uso inteligente de los recursos limitados. Las funciones complementarias siempre se pueden restaurar más adelante.
- Adoptar controles para la prevención y mitigación
- La planificación y las actividades de prevención y mitigación tienen como objetivo ayudar a prevenir un evento (como un incendio o una explosión debido a condiciones inseguras), así como reducir el impacto o la gravedad de un evento (como la reubicación de equipos críticos a una mayor elevación en áreas susceptibles a inundaciones).
- Sus planes de prevención y mitigación deben abordar, entre otras cosas, la respuesta a emergencias, las relaciones públicas, la gestión de recursos y las comunicaciones con los empleados.
- Pruebe, practique y mejore su plan de forma rutinaria
- Un plan de continuidad empresarial es una estrategia en constante evolución que debe adaptarse a las necesidades cambiantes de su empresa. Pruébelo y actualícelo periódicamente (al menos una vez al año) o en cualquier momento en que cambien funciones, instalaciones, proveedores o personal críticos. Capacite también a los empleados para que comprendan su papel en la ejecución del plan. Los ejercicios pueden incluir debates o recorridos hipotéticos de escenarios hasta simulacros o simulacros en vivo. La clave es asegurarse de que el plan funcione según lo previsto.
Proceso de planificación de cuatro pasos para su plan de continuidad empresarial
Evaluación de la amenaza
Realice una evaluación de amenazas. Puede ayudar a identificar la naturaleza y la probabilidad de un evento. Según el Informe anual de investigaciones sobre violaciones de datos (DBIR) de Verizon, el malware, el phishing y el uso indebido de credenciales son vulnerabilidades importantes.¹ Otros eventos pueden implicar acciones no intencionales, como que un empleado envíe por correo electrónico un archivo incorrecto, se lo envíe a la persona equivocada o extravíe una computadora portátil u otro dispositivo electrónico que contenga información confidencial.
Su plan debe incluir formas de mitigar el impacto de las pérdidas causadas por estos actos accidentales o intencionales o por fallas tecnológicas. También debe tener en cuenta los desastres naturales o relacionados con el clima, incluidos tornados, huracanes o terremotos. También deben considerarse los cortes de energía y las fallas de la red eléctrica.
Análisis de impacto crítico para el negocio
Realice un análisis del impacto empresarial. Le ayudará a identificar y priorizar las funciones empresariales que son más críticas para mantener sus operaciones en marcha. Este análisis puede ayudarle a garantizar que su negocio pueda recuperarse rápidamente. A continuación, se indican algunas razones:
- Su proceso de inventario y clasificación de datos puede ayudar a identificar los datos críticos que deben mantenerse para continuar con niveles aceptables de operación.
- Tener un inventario de red puede ayudar a identificar el hardware, software y firmware críticos necesarios para continuar proporcionando bienes y/o servicios.
- Determinar el tiempo máximo antes de que una interrupción pueda causar un impacto significativo en su negocio puede ayudarlo a priorizar las áreas que deben abordarse primero.
Estrategias de Prevención y Mitigación
Incluya una estrategia de respaldo integral para datos, hardware, software y firmware críticos. Otras funciones no críticas generalmente se pueden restaurar y volver a funcionar con normalidad con el tiempo sin interrumpir su negocio.
Asegúrese de especificar en su plan quién es responsable de crear copias de seguridad, dónde se almacenan las copias de seguridad y quién tiene acceso a ellas. Todas las copias de seguridad deben almacenarse en una ubicación remota que no pueda verse afectada por el mismo evento. El área debe ser segura y tener acceso restringido. También puede utilizar terceros para almacenar sus copias de seguridad. Cuando establezca un contrato con un tercero, especifique el nivel de seguridad requerido y el plazo que tienen para entregar sus copias de seguridad. Debe documentar completamente estos procedimientos y mantenerlos actualizados.
Las consideraciones clave sobre copias de seguridad deben incluir:
- Los datos electrónicos deben respaldarse automáticamente al menos una vez por semana. Considere la posibilidad de realizar copias de seguridad de los datos con mayor frecuencia en el caso de los sistemas que almacenan información crítica.
- Realice copias de seguridad de software y aplicaciones patentadas o desarrolladas internamente fuera del sitio para que se puedan volver a cargar fácilmente en equipos de reemplazo.
- Se debe mantener una copia autorizada y protegida del contenido web de su organización en un lugar seguro.
Pruebas, práctica y mejora continua
Pruebe su plan de forma periódica para poder evaluar su eficacia. Los empleados clave y terceros deben estar familiarizados con los procesos de copia de seguridad y restauración. Deben realizar pruebas periódicas de muestra de las copias de seguridad del sistema para verificar que el sistema operativo, las aplicaciones y los datos de la copia de seguridad se puedan restaurar.