Tecnología
Plan de Continuidad del Negocio: qué es y cómo armarlo en cuatro pasos
Redacción: ESET
ESET analiza los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
Desde un brote de un virus informático, un brote de un virus biológico, y otros peligros, como incendios, inundaciones, tornados, huracanes, terremotos o tsunamis que puedan alterar la operabilidad del negocio, un plan de continuidad de negocio (también llamado BCP, por sus siglas en inglés) gestiona cómo una organización debe recuperarse después de una interrupción no deseada o desastre en su organización, y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado.
ESET, compañía líder en detección proactiva de amenazas, explica los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
“Sin dudas estos planes conforman una parte vital de la gestión de seguridad de sistemas de información, ya que sirven para prevenir y gestionar eventos no deseados con el objetivo de dar continuidad al negocio de la manera más eficiente y menos costosa posible”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Es importante tener presente que este tipo de planes deben combinarse con otros planes, como los DRP (disaster recovery plan) y BCM (Business Continuity Management), ya que estos complementan el procedimiento de acciones que deben tomarse para darle la continuidad a un negocio ante un evento no deseado.
“Desafortunadamente algunas empresas deben cerrar cuando son afectadas por un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente que amenace con interrumpir su actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no”, agrega Gutiérrez Amaya de ESET.
¿Cómo elaborar un plan de continuidad de negocio en cuatro pasos?
1. Identificar y ordenar las amenazas: Luego de identificar los productos, servicios o funciones clave para una organización y más tarde realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de las 4P: Personas, Procesos, Beneficios y Asociaciones, crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.
Por otra parte, es necesario plantearse algunas preguntas: ¿qué ocurre dónde se encuentra la empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realizar un análisis del impacto en la empresa: Sin dudas se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la empresa y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.
De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias. Esto permitirá determinar la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
3. Crear un plan de respuesta y recuperación: En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Se necesitará determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se necesitará una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considerar quedarse con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de IT temporales, de ser necesario. No olvidar documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis: La mayoría de los expertos en planes de continuidad de negocios recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que se invirtió en la creación del plan, pudiendo detectar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, lo que sugiere que siempre conviene mantener, revisar y actualizar continuamente el plan de continuidad de la actividad.
“No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo”, asegura Gutiérrez Amaya de ESET Latinoamérica.
Para conocer más sobre seguridad informática visita el portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/12/15/gestion-continuidad-negocio-cuatro-pasos/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
El público que asista a los partidos del Mundial de fútbol 2026 en el MetLife Stadium, en las afueras de Nueva York, o en las fanzones de esta región, podrá descargar una aplicación para recibir información sobre temas de seguridad en su idioma.
Disponible en Google Play y en la App Store de Apple, la aplicación «Public Safety by Everbridge» requiere una dirección de correo electrónico para registrarse.
La palabra clave «World Cup NJ» permite suscribirse a alertas específicas, enviadas directamente en el idioma del teléfono.
«Es la forma más rápida para nosotros de llegar a los aficionados, a los visitantes, tanto internacionales como nacionales», explica David Sierotowicz, encargado de coordinar las fuerzas de seguridad de Nueva Jersey, donde se encuentra el estadio, y de la vecina Nueva York.
Varias otras ciudades estadounidenses sede del Mundial, que se inician en dos semanas, el 11 de junio, también recurren a esta aplicación.
Con ocho partidos en el MetLife Stadium, incluida la final, el 19 de julio, y más de un millón de visitantes esperados, la región se enfrenta a un desafío «sin precedentes», reconoce el teniente coronel de la Policía Estatal de Nueva Jersey, David Sierotowicz.
Al evento futbolístico se suman las celebraciones por los 250 años de independencia de Estados Unidos el fin de semana del 4 de julio.
«No tenemos margen de error y no vamos a cometer errores», aseguró el jueves Sierotowicz durante una visita al centro de coordinación de las fuerzas de seguridad, situado en Nueva Jersey.
Entre las principales preocupaciones destacaron la gestión de las multitudes y de los desplazamientos —los organizadores dan prioridad al transporte público—, los ataques con drones y la trata de personas, objeto de una importante campaña de sensibilización.
«Ninguna amenaza creíble» pesa, en cambio, «al día de hoy», sobre la región y el Mundial por la guerra en Oriente Medio, según él.
El secretario de Seguridad Interior de Estados Unidos, Markwayne Mullin, ha indicado en redes sociales que la policía de inmigración (ICE) estará implicada en operaciones contra la falsificación o la trata de personas.
Pero Sierotowicz precisó que sus agentes no estarán «específicamente» en el MetLife Stadium.
En Nueva York, en particular, los agentes policiales locales (NYPD) estarán «muy presentes sobre el terreno», informó el coordinador del departamento de policía de la ciudad, Robert Gault.
Un desfile de moda celebrado en Seúl innovó el jueves con un giro de alta tecnología, al presentar parejas formadas por personas y humanoides que desfilaron por la pasarela con conjuntos a juego, y ningún robot desnudo.
Un conjunto azul con flecos de estilo tejano, incluido un sombrero de vaquero para el robot, y una chaqueta plateada de estilo retro estuvieron entre los diseños presentados en el evento.
Cada modelo humano y su compañero androide, más bajo, se turnaban para lucirse sobre el escenario.
Los diseños, entre ellos vestidos de seda y holgados pantalones negros de estética espacial -como los que llevaba la estrella de rock David Bowie en la década de 1970- fueron cuidadosamente ajustados a las estructuras de los robots.
Galaxy Corporation, la empresa de entretenimiento responsable de la muestra, dijo que su intención era plantear la pregunta: «¿Cómo pueden coexistir humanos y robots?».
«Así como cada ser humano es único, creemos que cada robot también debería ser distinto», agregó.
La ropa fue diseñada por esta empresa, cuyo portavoz afirmó que espera lanzarla a finales de año bajo la marca «MACH 33».
Los modelos robóticos del desfile de Seúl parecían ser humanoides fabricados por la startup china Unitree, populares por su coste relativamente bajo.
Los robots, cada vez más diestros, han demostrado ser capaces de ejecutar bailes coreografiados, participar en carreras e incluso realizar saltos mortales hacia atrás y aterrizar de pie.La firma de servicios financieros Morgan Stanley prevé que el mundo podría contar con más de mil millones de humanoides para 2050.
Pero los robots totalmente automatizados, que utilizan la incipiente tecnología de IA física, siguen siendo raros, y la mayoría de las demostraciones más impresionantes se controlan a distancia o se programan de antemano.
Meta comenzó el miércoles a ejecutar su plan de despedir a unos 8.000 empleados —aproximadamente el 10 % de su plantilla mundial— mientras el cofundador y director ejecutivo, Mark Zuckerberg, quiere reforzar los recursos de la compañía para el desarrollo de la inteligencia artificial.
Según Bloomberg, la empresa envió a primeras horas de la mañana las primeras notificaciones de despido en su sede de Singapur.
Además de los despidos, Meta anunció en abril la cancelación de sus planes de contratar a 6.000 personas y la reubicación de otros 7.000 empleados en el sector de la IA.
En un memorándum dirigido al personal el miércoles, publicado por Business Insider, Zuckerberg expresó su agradecimiento a los empleados que abandonan la empresa y trató de tranquilizar a los que se quedan.
«Siempre es triste decir adiós a personas que han contribuido a nuestra misión y a la construcción de esta empresa», escribió.
Zuckerberg afirmó que no esperaba más despidos este año y reconoció que la empresa había fallado en su comunicación con el personal.
Este es el segundo gran recorte de personal de Zuckerberg, después de fulminar 21.000 empleados entre 2022 y 2023.
