Tecnología
Plan de Continuidad del Negocio: qué es y cómo armarlo en cuatro pasos
Redacción: ESET
ESET analiza los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
Desde un brote de un virus informático, un brote de un virus biológico, y otros peligros, como incendios, inundaciones, tornados, huracanes, terremotos o tsunamis que puedan alterar la operabilidad del negocio, un plan de continuidad de negocio (también llamado BCP, por sus siglas en inglés) gestiona cómo una organización debe recuperarse después de una interrupción no deseada o desastre en su organización, y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado.
ESET, compañía líder en detección proactiva de amenazas, explica los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
“Sin dudas estos planes conforman una parte vital de la gestión de seguridad de sistemas de información, ya que sirven para prevenir y gestionar eventos no deseados con el objetivo de dar continuidad al negocio de la manera más eficiente y menos costosa posible”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Es importante tener presente que este tipo de planes deben combinarse con otros planes, como los DRP (disaster recovery plan) y BCM (Business Continuity Management), ya que estos complementan el procedimiento de acciones que deben tomarse para darle la continuidad a un negocio ante un evento no deseado.
“Desafortunadamente algunas empresas deben cerrar cuando son afectadas por un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente que amenace con interrumpir su actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no”, agrega Gutiérrez Amaya de ESET.
¿Cómo elaborar un plan de continuidad de negocio en cuatro pasos?
1. Identificar y ordenar las amenazas: Luego de identificar los productos, servicios o funciones clave para una organización y más tarde realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de las 4P: Personas, Procesos, Beneficios y Asociaciones, crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.
Por otra parte, es necesario plantearse algunas preguntas: ¿qué ocurre dónde se encuentra la empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realizar un análisis del impacto en la empresa: Sin dudas se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la empresa y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.
De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias. Esto permitirá determinar la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
3. Crear un plan de respuesta y recuperación: En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Se necesitará determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se necesitará una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considerar quedarse con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de IT temporales, de ser necesario. No olvidar documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis: La mayoría de los expertos en planes de continuidad de negocios recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que se invirtió en la creación del plan, pudiendo detectar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, lo que sugiere que siempre conviene mantener, revisar y actualizar continuamente el plan de continuidad de la actividad.
“No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo”, asegura Gutiérrez Amaya de ESET Latinoamérica.
Para conocer más sobre seguridad informática visita el portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/12/15/gestion-continuidad-negocio-cuatro-pasos/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
Esta impresionante cifra de financiación superó las previsiones iniciales, lo que refleja el aumento de los costos de la potencia computacional. La recaudación se produce en medio de las dudas persistentes sobre cómo las empresas de inteligencia artificial (IA) pueden generar ingresos suficientes para cubrir sus gastos.
«El capital que se está invirtiendo hoy está ayudando a construir la capa de infraestructura para la inteligencia misma», dijo OpenAI en una publicación de blog.
«Con el tiempo, ese valor volverá a la economía, a las empresas, a las comunidades y, cada vez más, a los individuos», añadió.
El creador de ChatGPT dijo que su tasa de ingresos de 2.000 millones de dólares mensuales está creciendo rápidamente.
La ronda de financiamiento incluyó un conjunto diverso de socios, entre ellos Amazon, Microsoft, Nvidia y Softbank, según OpenAI.
En una medida inusual, se informó que se recaudaron unos 3.000 millones de dólares de inversionistas individuales.
ChatGPT ocupa el primer lugar en IA para consumidores, con más de 900 millones de usuarios activos semanales y unos 50 millones de suscriptores.
El uso del motor de búsqueda en línea de ChatGPT se ha triplicado en el transcurso de un año, según la compañía.
«No se trata solo de hitos de crecimiento, sino que demuestran que la IA de vanguardia se está convirtiendo en parte de la vida cotidiana de personas de todo el mundo», afirmó la start-up con sede en San Francisco.
En febrero, la empresa comenzó a implementar publicidad para sus usuarios no premium en un intento por generar más ingresos.
OpenAI también anunció que está desarrollando una «súper-app» que combinará ChatGPT, la navegación por Internet, una herramienta de programación llamada Codex y capacidades que permitirán a los asistentes digitales realizar tareas de forma autónoma.
Esta ronda de financiación masiva llega en un momento en el que se espera que OpenAI salga a bolsa este año, a medida que se intensifica la competencia en el sector de la IA.
Su archirrival Anthropic, fundada por antiguos empleados de OpenAI, sigue ganando terreno y acaparando titulares por sus modelos de IA Claude, muy bien valorados.
La Ciudad de Nueva York ha levantado su prohibición sobre TikTok para los dispositivos propiedad del Gobierno, permitiendo a las agencias reanudar sus publicaciones en esta plataforma bajo nuevos protocolos de seguridad, anunció este martes desde la misma aplicación el alcalde Zohran Mamdani.
La prohibición inicial, establecida en 2023 por el exalcalde Eric Adams, estaba alineada con el Gobierno federal y muchos estados estadounidenses, que restringieron la aplicación en dispositivos gubernamentales por preocupaciones sobre su empresa matriz, ByteDance. TikTok ha rechazado anteriormente esas preocupaciones al considerarlas infundadas.
Bajo las nuevas reglas publicadas por el Cibercomando de la Ciudad de Nueva York, los dispositivos dedicados a TikTok por las agencias no deben contener información sensible. La ciberagencia metropolitana señaló que esta decisión tiene como objetivo ampliar la comunicación con los residentes.
«La Administración Mamdani está comprometida a utilizar cualquier herramienta en nuestra caja de herramientas para comunicarse con los neoyorquinos», declaró.
La cuenta oficial de TikTok del alcalde de Nueva York ha comenzado a publicar nuevo contenido. Había estado sin actividad desde que la prohibición entró en vigor.
La editorial británico-estadounidense Penguin Random House anunció el martes haber presentado una demanda en Alemania contra OpenAI, acusando a su herramienta de inteligencia artificial, ChatGPT, de haber infringido los derechos de autor de libros infantiles alemanes.
Se trata de la serie «Der kleine Drache Kokosnuss», la historia de un dragón llamado Coco que no sabe volar, del ilustrador alemán Ingo Siegner.
La demanda fue presentada ante el tribunal regional de Múnich contra OpenAI Ireland Limited, proveedor de ChatGPT, según un comunicado de esta editorial, propiedad del gigante alemán de medios Bertelsmann.
Con «simples solicitudes», el chatbot «reproduce de manera reconocible» contenidos protegidos por derechos de autor de Siegner y genera ilustraciones del dragón «que se parecen notablemente al original», denuncia la empresa.
Además, existen «indicios claros» de que las obras de Ingo Siegner «fueron utilizadas ilegalmente para entrenar el sistema de IA» y están almacenadas por el chatbot.
Penguin Random House considera que los derechos de autor del ilustrador, así como los derechos exclusivos de uso y explotación que posee su filial, fueron vulnerados.
El gigante de Silicon Valley, pese a una solicitud de cese y de información, no reaccionó, asegura Penguin Random House.
Contactada por la AFP, una responsable de OpenAI para Europa no respondió de inmediato.
En enero de 2025, Bertelsmann había alcanzado un acuerdo con OpenAI para generalizar el uso del chatbot en sus actividades, incluyendo también a Penguin Random House.
Para la editorial, el objetivo de esta colaboración era ofrecer recomendaciones de libros personalizadas en redes sociales.
«Estamos abiertos a las oportunidades que ofrece la IA, pero la protección de la propiedad intelectual sigue siendo para nosotros una prioridad absoluta», afirmó Carina Mathern, directora editorial de su división juvenil.
Penguin Random House también exige «mayor transparencia para los lectores, con medidas de protección adecuadas».
«La IA no debe desarrollarse en detrimento de quienes crean los contenidos», declaró en un comunicado separado el sindicato de editores alemanes.
Este organismo insta a los tribunales a «definir claramente a partir de qué punto comienzan las apropiaciones ilícitas».
