Tecnología
Plan de Continuidad del Negocio: qué es y cómo armarlo en cuatro pasos
Redacción: ESET
ESET analiza los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
Desde un brote de un virus informático, un brote de un virus biológico, y otros peligros, como incendios, inundaciones, tornados, huracanes, terremotos o tsunamis que puedan alterar la operabilidad del negocio, un plan de continuidad de negocio (también llamado BCP, por sus siglas en inglés) gestiona cómo una organización debe recuperarse después de una interrupción no deseada o desastre en su organización, y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado.
ESET, compañía líder en detección proactiva de amenazas, explica los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
“Sin dudas estos planes conforman una parte vital de la gestión de seguridad de sistemas de información, ya que sirven para prevenir y gestionar eventos no deseados con el objetivo de dar continuidad al negocio de la manera más eficiente y menos costosa posible”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Es importante tener presente que este tipo de planes deben combinarse con otros planes, como los DRP (disaster recovery plan) y BCM (Business Continuity Management), ya que estos complementan el procedimiento de acciones que deben tomarse para darle la continuidad a un negocio ante un evento no deseado.
“Desafortunadamente algunas empresas deben cerrar cuando son afectadas por un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente que amenace con interrumpir su actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no”, agrega Gutiérrez Amaya de ESET.
¿Cómo elaborar un plan de continuidad de negocio en cuatro pasos?
1. Identificar y ordenar las amenazas: Luego de identificar los productos, servicios o funciones clave para una organización y más tarde realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de las 4P: Personas, Procesos, Beneficios y Asociaciones, crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.
Por otra parte, es necesario plantearse algunas preguntas: ¿qué ocurre dónde se encuentra la empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realizar un análisis del impacto en la empresa: Sin dudas se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la empresa y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.
De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias. Esto permitirá determinar la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
3. Crear un plan de respuesta y recuperación: En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Se necesitará determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se necesitará una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considerar quedarse con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de IT temporales, de ser necesario. No olvidar documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis: La mayoría de los expertos en planes de continuidad de negocios recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que se invirtió en la creación del plan, pudiendo detectar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, lo que sugiere que siempre conviene mantener, revisar y actualizar continuamente el plan de continuidad de la actividad.
“No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo”, asegura Gutiérrez Amaya de ESET Latinoamérica.
Para conocer más sobre seguridad informática visita el portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/12/15/gestion-continuidad-negocio-cuatro-pasos/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
Tras la victoria de Donald Trump en las elecciones presidenciales de EE.UU., el número de usuarios, principalmente estadounidenses, de la red social X, propiedad de Elon Musk, que este año se convirtió en una de las personas más cercanas al futuro inquilino de la Casa Blanca, empezó a descender notablemente.
Mientras tanto, el competidor de X, la plataforma Bluesky, creada por el cofundador de Twitter, Jack Dorsey, registra un aumento significativo de nuevos usuarios.
Desde el 6 de noviembre, el número de cuentas en la red social crece a diario, superando ya los 17 millones. Solo este jueves, más de un millón de personas se unieron a la plataforma.
¿Qué es Bluesky?
Bluesky existe desde el 2019, pero hasta febrero de este año los usuarios solo podían registrarse en ella por invitación.
Se trata de una red social de microblogging descentralizada basada en un protocolo abierto llamado ‘Authenticated Transfer Protocol’ (AT Protocol). Es decir, los usuarios y desarrolladores tienen más opciones para personalizar y gestionar la red. Los usuarios pueden elegir algoritmos personalizados que determinan el tipo de publicaciones que aparecen en su pantalla.
Según su sitio web, la plataforma “fue diseñada para no estar controlada por una sola empresa”.
No obstante, muchas de las funciones de Bluesky son similares a las de X: permite a los usuarios crear mensajes de texto con un límite de 256 caracteres, que también pueden contener imágenes y videos, compartir y responder a las publicaciones de otros usuarios.
Al mismo tiempo, los usuarios de Bluesky pueden bloquearse entre sí, mientras que uno de los cambios de X permite a un usuario ver las publicaciones de alguien que le ha bloqueado.
Además, de momento la plataforma no tiene publicidad y no tiene intención de incluirla en un futuro.
Aunque X atrajo 46.5 millones de visitas en EE.UU. el 6 de noviembre, cuando se dio a conocer la victoria electoral de Trump, lo que supone un aumento del 38% respecto a un día normal de los últimos meses, más de 115 000 usuarios desactivaron sus cuentas, la cifra más alta desde que el magnate Elon Musk compró la plataforma.
Los usuarios explican que, tras la adquisición de Twitter por Musk y los cambios en el sistema de moderación de contenidos en favor de la libertad de expresión, X se ha convertido en una “plataforma mediática tóxica” con un alto nivel de bots, desinformación y un aumento de las publicaciones ofensivas.
Además, algunos denuncian que los algoritmos de la red promueven las publicaciones con narrativas de extrema derecha y la agenda de Donald Trump, a quien Musk apoya.
El investigador de medios sociales Axel Bruns dijo a The Guardian que Bluesky, por su parte, ofrece una alternativa a X con un sistema más eficaz para combatir las cuentas problemáticas y supervisar el comportamiento ofensivo.
“Se ha convertido en un refugio para la gente que quiere tener el tipo de experiencia en redes sociales que Twitter solía ofrecer, pero sin todo el activismo de extrema derecha, la desinformación, el discurso de odio, los bots y todo lo demás”, afirmó, añadiendo que la comunidad más liberal de X “ha escapado realmente de allí y parece haberse trasladado en masa a Bluesky”.
Al mismo tiempo, cabe recordar que el antiguo Twitter, liderado por Dorsey, con su estricta moderación, no era imparcial y promovía narrativas de los líderes del Partido Demócrata.
Por ejemplo, los documentos internos de la empresa, publicados por Musk tras su compra, revelaron que las agencias de inteligencia de EE.UU. habían exigido a la plataforma censurar temas que iban en contra de la narrativa impulsada por Washington, como la historia sobre la información presente en el portátil de Hunter Biden, hijo del actual presidente de EE.UU., en las semanas previas a las elecciones presidenciales del 2020.
Un documento policial obtenido por 404 Media reveló la existencia de una función de seguridad aparentemente nueva en iOS 18 que reinicia los iPhones que no se han desbloqueado en unos días, lo que «vuelve loca» a la Policía al dificultar el acceso a los celulares de personas sospechosas.
Según el reporte, el sistema iOS 18.1 incorporó el mecanismo de ‘reinicio por inactividad’ como una nueva herramienta de seguridad, que hace que después de algunos días sin ser abiertos, los teléfonos se reinician.
Al analizar la situación, Chris Wade, fundador de la compañía de análisis de dispositivos móviles Corellium, señaló que esta nueva herramienta se activa después de que los teléfonos hayan estado bloqueados durante cuatro días. Este reinicio devolvía al dispositivo al momento previo a que haya sido desbloqueado por primera vez.
Tanto los dispositivos con sistemas iOS como los de Android ya contaban con un sistema de bloqueo que requería que se escribiera la clave o se usara otro mecanismo para poder acceder al teléfono. Esto ya representaba una complicación en investigaciones policiales en las que es necesaria la apertura del celular para obtener información, pero la nueva herramienta de Apple podría hacer todavía más difícil ese procedimiento.
SpaceX completó su quinta prueba del Starship, el mayor cohete espacial jamás construido, con éxito y en su primer intento consiguió recuperar la primera fase de la nave con una grúa en la misma plataforma de lanzamiento, un hito de la ingeniería espacial y un logro que puede ser un paso decisivo para la reutilización de este pesado lanzador.
Con casi 121 metros de altura, el Starship vacío despegó al amanecer desde el extremo sur de Texas, cerca de la frontera con México. Se elevó sobre el Golfo de México como las cuatro Starships anteriores que acabaron destruidas, ya fuera poco después del despegue o al caer al mar. La última, en junio, fue la más exitosa hasta la fecha, ya que completó su vuelo sin explotar.
Esta vez, el fundador y consejero delegado de SpaceX, Elon Musk, ha aumentado el reto y el riesgo. La empresa hizo aterrizar el cohete de la primera etapa en la plataforma desde la que había despegado siete minutos antes. La torre de lanzamiento lucía unos monstruosos brazos metálicos, conocidos como “palillos” (chopsticks), que atraparon el cohete descendente de 71 metros.
“¡La torre ha atrapado el cohete!” dijo Musk a través de X.
Los empleados de la empresa gritaron de alegría mientras el cohete descendía lentamente hacia los brazos de la torre de lanzamiento.
“Incluso en estos tiempos, lo que acabamos de ver es mágico”, observó Dan Huot, de SpaceX, desde cerca del lugar de lanzamiento. “Estoy temblando ahora mismo”.
“Amigos, este es un día para los libros de historia de la ingeniería”, añadió Kate Tice, de SpaceX, desde la sede de SpaceX en Hawthorne, California.
Correspondía al director de vuelo decidir, en tiempo real con un control manual, si se intentaba el aterrizaje. SpaceX dijo que tanto el propulsor como la torre de lanzamiento tenían que estar en buenas condiciones y estables. De lo contrario, iba a acabar en el golfo como los anteriores. Se consideró que todo estaba listo para la captura.
La nave espacial de acero inoxidable, de aspecto retro, siguió su camino alrededor del mundo una vez liberada del cohete propulsor, con destino a un amerizaje controlado en el Océano Índico, donde se hundiría hasta el fondo. Se esperaba que el vuelo durara poco más de una hora.
El vuelo de junio se quedó corto al final, después de que se desprendieran algunas piezas. SpaceX actualizó el software y retocó el escudo térmico, mejorando las baldosas térmicas.
Esta quinta prueba del Starship, que pesa unas 5.000 toneladas, SpaceX también consiguió probar un sistema para, por vez primera, mantener comunicación con el módulo orbital en la fase de reentrada, algo que hasta ahora ningún vuelo espacial ha conseguido.
SpaceX lleva nueve años recuperando los propulsores de la primera etapa de sus cohetes Falcon 9 más pequeños, después de poner en órbita satélites y tripulaciones desde Florida o California. Pero aterrizan en plataformas oceánicas flotantes o en losas de hormigón a varios kilómetros de sus plataformas de lanzamiento, no sobre ellas.
El reciclaje de los propulsores Falcon ha acelerado el ritmo de lanzamiento y ahorrado millones a SpaceX. Musk pretende hacer lo mismo con el Starship, el cohete más grande y potente jamás construido, con 33 motores de metano sólo en el propulsor. La NASA ha encargado dos Starship para llevar astronautas a la Luna a finales de esta década. SpaceX pretende utilizar Starship para enviar personas y suministros a la Luna y, con el tiempo, a Marte.
