Tecnología
Plan de Continuidad del Negocio: qué es y cómo armarlo en cuatro pasos
Redacción: ESET
ESET analiza los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
Desde un brote de un virus informático, un brote de un virus biológico, y otros peligros, como incendios, inundaciones, tornados, huracanes, terremotos o tsunamis que puedan alterar la operabilidad del negocio, un plan de continuidad de negocio (también llamado BCP, por sus siglas en inglés) gestiona cómo una organización debe recuperarse después de una interrupción no deseada o desastre en su organización, y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado.
ESET, compañía líder en detección proactiva de amenazas, explica los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
“Sin dudas estos planes conforman una parte vital de la gestión de seguridad de sistemas de información, ya que sirven para prevenir y gestionar eventos no deseados con el objetivo de dar continuidad al negocio de la manera más eficiente y menos costosa posible”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Es importante tener presente que este tipo de planes deben combinarse con otros planes, como los DRP (disaster recovery plan) y BCM (Business Continuity Management), ya que estos complementan el procedimiento de acciones que deben tomarse para darle la continuidad a un negocio ante un evento no deseado.
“Desafortunadamente algunas empresas deben cerrar cuando son afectadas por un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente que amenace con interrumpir su actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no”, agrega Gutiérrez Amaya de ESET.
¿Cómo elaborar un plan de continuidad de negocio en cuatro pasos?
1. Identificar y ordenar las amenazas: Luego de identificar los productos, servicios o funciones clave para una organización y más tarde realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de las 4P: Personas, Procesos, Beneficios y Asociaciones, crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.
Por otra parte, es necesario plantearse algunas preguntas: ¿qué ocurre dónde se encuentra la empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realizar un análisis del impacto en la empresa: Sin dudas se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la empresa y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.
De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias. Esto permitirá determinar la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
3. Crear un plan de respuesta y recuperación: En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Se necesitará determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se necesitará una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considerar quedarse con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de IT temporales, de ser necesario. No olvidar documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis: La mayoría de los expertos en planes de continuidad de negocios recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que se invirtió en la creación del plan, pudiendo detectar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, lo que sugiere que siempre conviene mantener, revisar y actualizar continuamente el plan de continuidad de la actividad.
“No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo”, asegura Gutiérrez Amaya de ESET Latinoamérica.
Para conocer más sobre seguridad informática visita el portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/12/15/gestion-continuidad-negocio-cuatro-pasos/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
La red social X, para muchos aún conocida como Twitter, ha sufrido una caída generalizada en España. Tal y como informa Downdetector, los problemas comenzaron hoy 18 de noviembre a eso de las 12:20 PM (horario peninsular). Desde entonces, los usuarios han experimentado problemas para acceder a la aplicación, sobre todo en la versión de escritorio.
Tanto la versión móvil como la de navegador siguen experimentando errores. A grandes rasgos, la página no carga y no se visualizan los tweets ni deja publicar. También hay problemas para visualizar contenido incrustado como vídeos e imágenes.
Dado que ha habido un pico de incidencias paralelo que coincide con la hora señalada, todo parece indicar que el problema no es de X en sí, sino de Cloudflare, un servicio de la nube del que dependen diversas plataformas como la red social de Elon Musk. Desde Cloudflare ya avisan de que son conscientes del problema y están trabajando para solucionarlo, por lo que a nivel de usuarios no es preciso que hagamos nada salvo esperar.
Si X o cualquier otra red social no funciona, lo mejor que se puede hacer es visitar webs como Downdetector o Down for Everyone or Just Me. En ambas páginas podemos ver si el problema es nuestro, a nivel local o a escala mundial. A veces puede depender del proveedor de Internet, o, como en este caso, de un intermediario cuya infraestructura sea crítica para el correcto funcionamiento de la plataforma.
Estas caídas solo suelen prolongarse durante unos minutos, aunque, en el peor de los casos, puede llevar varias horas restablecer el servicio. De nuevo, insistimos; a nivel de usuario no se puede hacer nada, ya que son los responsables quienes tienen que resolver los problemas técnicos oportunos. En otras palabras: toca esperar sí o sí.
Al margen de la no operatividad de X, otras webs bastante populares que dependen de la infraestructura de Cloudflare tampoco permiten el acceso a sus usuarios. Debajo os dejamos una lista parcial de varios ejemplos relevantes:
En estos casos, sucede lo mismo que con X: hasta que no se solvente el problema de Cloudflare, estos servicios y webs quedan inoperativos. De nuevo, toca esperar hasta que el problema sea resuelto por los ingenieros de Cloudflare.
El orgullo de OpenAI es otro de los elementos que están sufriendo fuerte la caída de cloudflare. Va y viene, al igual que el resto de webs, pero si quieres una búsqueda concreta quizá este no sea el mejor momento para utilizarla. Como siempre: tira de paciencia y consula páginas como esta para saber si ya ha vuelto.
El presidente Nayib Bukele presentó “Doctor SV”, el nuevo sistema de atención médica digital que funcionará las 24 horas del día y los siete días de la semana. La aplicación, desarrollada con apoyo de Google Cloud y el Banco de Desarrollo de América Latina y el Caribe (CAF), ofrecerá consultas por videollamada con médicos y diagnósticos asistidos por Inteligencia Artificial (IA).
Doctor SV permitirá al paciente comunicarse con un médico en tiempo real, recibir un diagnóstico en minutos y gestionar medicamentos mediante códigos QR que podrán utilizarse en la red hospitalaria pública. Además, la plataforma integrará exámenes de laboratorio y contará con un sistema de retroalimentación para evaluar la atención recibida.
La aplicación incluirá el modelo Gemini de Google, entrenado con bases de datos médicas, lo que permitirá aumentar la precisión diagnóstica. Según Guy Nae, director de Google Cloud para el sector público en América Latina, el sistema supera el 90 % de asertividad cuando el personal médico es asistido por IA.
En su primera fase, Doctor SV estará disponible para personas de 18 a 30 años, con una ampliación gradual al resto de la población. El proyecto busca garantizar equidad en el acceso a servicios de salud avanzados y gratuitos, sin importar el lugar de residencia, destacó Pablo Bartol, del CAF.
Especialistas como la epidemióloga Stella Aslibekyan señalaron que la herramienta se sustenta en una base de datos robusta que respalda la confiabilidad de los diagnósticos y posiciona al país entre los referentes regionales en el uso de IA para la atención médica.
El presidente Nayib Bukele presentó este jueves la aplicación “Doctor SV”, un nuevo sistema de atención médica digital desarrollado con el apoyo de Google Cloud y el Banco de Desarrollo de América Latina y el Caribe (CAF). La herramienta utiliza tecnología de Inteligencia Artificial (IA) para ofrecer consultas las 24 horas, los siete días de la semana.
La aplicación permitirá realizar videollamadas entre pacientes y médicos, generar diagnósticos asistidos por IA y entregar códigos QR para obtener medicamentos en la red hospitalaria o para gestionar exámenes de laboratorio. En su primera etapa, estará disponible para personas entre 18 y 30 años, con una expansión progresiva al resto de la población, según explicó Guy Nae, director de Google Cloud para el sector público en América Latina.
Nae detalló que el sistema incluye un módulo de retroalimentación para evaluar la atención médica, así como el servicio de farmacias y laboratorios. Afirmó que la plataforma alcanza niveles de asertividad superiores al 90% en diagnósticos cuando los médicos son asistidos por IA, y que incorpora el modelo Gemini de Google entrenado con bases de datos médicas.
Pablo Bartol, gerente de Desarrollo Social y Humano del CAF, destacó que la iniciativa busca garantizar equidad en el acceso a servicios de salud avanzados y gratuitos. Señaló que el uso de tecnología permitirá mejorar la calidad de la atención sin distinción entre pacientes.
Durante la presentación, especialistas como Stella Aslibekyan, PhD en Epidemiología, aseguraron que la herramienta se basa en un sistema de datos robusto que respalda la confiabilidad de los diagnósticos y posiciona al país como referente regional en la aplicación de IA en medicina.
