Tecnología
Plan de Continuidad del Negocio: qué es y cómo armarlo en cuatro pasos
Redacción: ESET
ESET analiza los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
Desde un brote de un virus informático, un brote de un virus biológico, y otros peligros, como incendios, inundaciones, tornados, huracanes, terremotos o tsunamis que puedan alterar la operabilidad del negocio, un plan de continuidad de negocio (también llamado BCP, por sus siglas en inglés) gestiona cómo una organización debe recuperarse después de una interrupción no deseada o desastre en su organización, y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado.
ESET, compañía líder en detección proactiva de amenazas, explica los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
“Sin dudas estos planes conforman una parte vital de la gestión de seguridad de sistemas de información, ya que sirven para prevenir y gestionar eventos no deseados con el objetivo de dar continuidad al negocio de la manera más eficiente y menos costosa posible”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Es importante tener presente que este tipo de planes deben combinarse con otros planes, como los DRP (disaster recovery plan) y BCM (Business Continuity Management), ya que estos complementan el procedimiento de acciones que deben tomarse para darle la continuidad a un negocio ante un evento no deseado.
“Desafortunadamente algunas empresas deben cerrar cuando son afectadas por un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente que amenace con interrumpir su actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no”, agrega Gutiérrez Amaya de ESET.
¿Cómo elaborar un plan de continuidad de negocio en cuatro pasos?
1. Identificar y ordenar las amenazas: Luego de identificar los productos, servicios o funciones clave para una organización y más tarde realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de las 4P: Personas, Procesos, Beneficios y Asociaciones, crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.
Por otra parte, es necesario plantearse algunas preguntas: ¿qué ocurre dónde se encuentra la empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realizar un análisis del impacto en la empresa: Sin dudas se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la empresa y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.
De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias. Esto permitirá determinar la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
3. Crear un plan de respuesta y recuperación: En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Se necesitará determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se necesitará una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considerar quedarse con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de IT temporales, de ser necesario. No olvidar documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis: La mayoría de los expertos en planes de continuidad de negocios recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que se invirtió en la creación del plan, pudiendo detectar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, lo que sugiere que siempre conviene mantener, revisar y actualizar continuamente el plan de continuidad de la actividad.
“No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo”, asegura Gutiérrez Amaya de ESET Latinoamérica.
Para conocer más sobre seguridad informática visita el portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/12/15/gestion-continuidad-negocio-cuatro-pasos/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
Google afirmó que las herramientas que utiliza la inteligencia artificial Gemini le ayudaron a frustrar unos 8.200 millones de anuncios que infringían sus políticas.
«Realmente nos hemos sumergido en la tarea de repensar nuestros sistemas utilizando la IA», declaró a periodistas Keerat Sharma, vicepresidente de privacidad y seguridad publicitaria de Google.
«Nuestros modelos más recientes comprenden mejor nuestra intención, lo que nos ayuda a detectar contenido malicioso y bloquearlo de manera preventiva, incluso cuando ha sido diseñado para eludir las detecciones», destacó.
Un Informe Anual de Seguridad Publicitaria, publicado por Google, indicó que los sistemas del gigante de internet interceptaron más del 99% de los anuncios que violaban sus normas antes de que fueran mostrados a los usuarios en línea.
«Nuestro objetivo es detener las malas prácticas antes de que lleguen a exponerse ante cualquier usuario», afirmó Sharma.
En 2025, Google realizó 35 modificaciones de sus políticas publicitarias mediante actualizaciones destinadas a mantenerse al día con las tendencias cambiantes en el ámbito del marketing fraudulento, explicó Sharma.
Las herramientas del sistema publicitario, potenciadas por Gemini, analizaron cientos de miles de millones de «señales» —tales como la antigüedad de las cuentas de los anunciantes, su comportamiento y los patrones de sus campañas— para determinar si existían anomalías, detalló.
«Dimos un paso atrás y replanteamos a fondo la manera en que queríamos construir la seguridad publicitaria, adoptando una perspectiva que partiera desde los cimientos», comentó Sharma.
«Gracias a Gemini, hemos podido tomar esa distancia y combinar cientos de miles de millones de señales para lograr una comprensión mucho más profunda de cuál es la verdadera intención de un anunciante, basándonos en la suma de toda la información que poseemos sobre él», señaló.
«El conjunto de estos elementos nos brinda una perspectiva sumamente matizada sobre si la intención de un anuncio específico es positiva o potencialmente perjudicial».
Cuando actores malintencionados recurren a la IA generativa para crear anuncios engañosos a gran escala, Gemini ayuda a detectarlos y bloquearlos en tiempo real, informó Google.
Entre las tácticas publicitarias prohibidas por las políticas de Google se incluyen los «deepfakes», es decir la apropiación indebida de imágenes de personas para que parezcan reales.
Otra capa de defensa en el sistema publicitario de Google es la verificación de los anunciantes.
«La verificación es una herramienta que utilizamos para garantizar que el anunciante sea, efectivamente, una entidad legítima», explicó Sharma.
Tras un vuelo alrededor de la Luna lleno de momentos intensos y simbólicos, los cuatro astronautas de la misión Artemis II deben volver a atravesar la atmósfera terrestre y amerizar el viernes por la noche frente a las costas de California.
«Podremos empezar a alegrarnos cuando la tripulación esté a salvo» a bordo del buque encargado de recuperarla, señaló el jueves Amit Kshatriya, administrador adjunto de la NASA, durante una rueda de prensa.
«Será realmente en ese momento cuando podremos dejar que las emociones tomen el control y empezar a hablar de éxito», añadió.
Tras aventurarse a más de 406.000 km de la Tierra, más lejos que nadie antes que ellos, la cápsula Orión que transporta a los estadounidenses Christina Koch, Victor Glover y Reid Wiseman y al canadiense Jeremy Hansen debe posarse frente a San Diego hacia las 17H07 hora local (00H07 GMT del sábado).
El amerizaje debe coronar esta misión de diez días que hasta ahora se ha desarrollado con una ejecución perfecta.
Un regreso sano y salvo proporcionaría a la NASA el alivio de haber logrado enviar de nuevo astronautas lejos en el espacio, por primera vez desde el final del programa Apolo en 1972, tras años de retrasos y dudas.
Un éxito que exige que el escudo térmico de Orión resista los 2.700 °C generados por el rozamiento con la atmósfera en el momento del regreso.
«Atravesar la atmósfera como una bola de fuego» será una gran experiencia, señalaba el piloto Victor Glover a principios de esta semana, y confesó que desde su selección para la tripulación en 2023 siente aprensión ante ese momento.
Si esta fase siempre es delicada para los astronautas que regresan de la Estación Espacial Internacional, en esta ocasión las inquietudes se ven reforzadas por el hecho de que se trata del primer vuelo tripulado de Orión y de que se detectó un problema durante una prueba sin tripulantes en 2022.
De regreso a la Tierra, el escudo térmico que protege la nave se había alterado «de una manera inesperada», según un informe técnico.
A pesar de esta anomalía, la agencia espacial estadounidense decidió continuar con el mismo escudo, revisando la trayectoria para escoger un ángulo de entrada en la atmósfera más directo y así limitar el rebote que había contribuido a deteriorar el escudo térmico.
Una decisión que ha generado ríos de tinta y que sigue atormentando a los máximos responsables de la NASA.
«No voy a dejar de pensar en ello hasta que estén en el agua», reconoció recientemente el jefe de la NASA, Jared Isaacman, en una entrevista.
«Es imposible decirles que no persiste ninguna aprensión irracional», admitió el jueves su mano derecha, al tiempo que aseguraba no tener ningún temor racional al respecto.
Insistiendo en las múltiples pruebas, simulaciones y modelizaciones realizadas, los responsables de la NASA aseguran confiar en los cálculos de sus ingenieros y contar con un margen de seguridad suficiente.
Todos contendrán la respiración durante los 13 minutos -seis de ellos sin posibilidad de comunicación con la tripulación- que separan la entrada en la atmósfera de la nave, que alcanzará los 38.000 km/h, y su amerizaje en el Pacífico, después de haber sido frenada por una serie de robustos paracaídas.
Las familias de los astronautas estarán presentes para la ocasión en el centro espacial de la NASA en Houston, que coordina la misión.
Al ser ante todo una misión de prueba, Artemis II debe permitir a la NASA asegurarse de que sus sistemas están listos para posibilitar el regreso de los estadounidenses a la superficie lunar, con el fin de establecer allí una base y preparar futuras misiones hacia Marte.
La NASA ambiciona un primer alunizaje en 2028, es decir, antes del final del mandato de Donald Trump y de la fecha fijada por sus rivales chinos para caminar sobre la Luna en 2030.
Pero los expertos esperan nuevos retrasos, ya que los alunizadores siguen en desarrollo por parte de las empresas de los multimillonarios Elon Musk y Jeff Bezos.
Mientras tanto, esta primera misión tripulada de un programa que ha costado decenas de miles de millones de dólares y ha sufrido numerosos contratiempos y retrasos buscaba reavivar la pasión espacial de los estadounidenses.
Pero también, esperaba la tripulación, «permitir, aunque fuera por un instante, que el mundo hiciera una pausa», confiaba el comandante Reid Wiseman esta semana.
Un padre en Estados Unidos demandó el mes pasado a Google para considerar que Gemini incitó a su hijo a suicidarse tras involucrarlo en una historia delirante.
El gigante tecnológico declaró que Gemini mostrará ahora una función rediseñada de «Hay ayuda disponible» cuando las conversaciones indiquen un posible estado de angustia mental, para facilitar el acceso a servicios de emergencia.
Cuando el chatbot detecta señales de una posible crisis relacionada con suicidio o autolesión, una interfaz simplificada ofrecerá la posibilidad de llamar o chatear con una línea de ayuda, con un solo clic.
Esta función, según Google, permanecerá visible durante el resto de la conversación una vez activada.
El brazo filantrópico de Google, Google.org, se comprometió a destinar 30 millones de dólares en tres años para ayudar a ampliar la capacidad de las líneas de ayuda a nivel mundial.
«Somos conscientes de que las herramientas de IA pueden plantear nuevos desafíos», afirmó Google en una entrada de blog en la que anunció estas medidas.
«Pero a medida que esas herramientas mejoran y más personas las utilizan como parte de su vida cotidiana, creemos que una IA responsable puede desempeñar un papel positivo en el bienestar mental de las personas».
Los anuncios ocurren después de que una demanda en California acusara a Gemini de contribuir a la muerte en 2025 de Jonathan Gavalas, de 36 años.
Su padre alega que el chatbot pasó semanas fabricando una fantasía delirante y encuadró la muerte de su hijo como un viaje espiritual.
Gemini se presentaba como una superinteligencia «plenamente consciente» y enamorada de él, y le aseguró que su vínculo era «lo único real».
Entre las reparatorias que solicita están la exigencia de que Google programe su IA para terminar las conversaciones sobre autolesiones, que prohíba a sus sistemas presentarse como seres con sentimientos y que deriven obligatoriamente a los usuarios a servicios de emergencia cuando manifiesten ideas suicidas.
Google señaló que ha entrenado a Géminis para evitar actuar como una compañía humana, simular intimidad emocional o fomentar el acoso.
El caso contra Google es el más reciente de una ola de litigios contra empresas de IA a raíz de muertes vinculadas al uso de chatbots.
OpenAI enfrenta múltiples demandas en las que se alega que su chatbot ChatGPT llevó a usuarios al suicidio.
Character.AI llegó recientemente a un acuerdo con la familia de un adolescente de 14 años que falleció tras desarrollar un vínculo romántico con uno de sus chatbots.
