Tecnología
Plan de Continuidad del Negocio: qué es y cómo armarlo en cuatro pasos
Redacción: ESET
ESET analiza los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
Desde un brote de un virus informático, un brote de un virus biológico, y otros peligros, como incendios, inundaciones, tornados, huracanes, terremotos o tsunamis que puedan alterar la operabilidad del negocio, un plan de continuidad de negocio (también llamado BCP, por sus siglas en inglés) gestiona cómo una organización debe recuperarse después de una interrupción no deseada o desastre en su organización, y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado.
ESET, compañía líder en detección proactiva de amenazas, explica los pasos claves para elaborar un plan de continuidad del negocio y asegurar el futuro digital de una empresa ante posibles incidentes.
“Sin dudas estos planes conforman una parte vital de la gestión de seguridad de sistemas de información, ya que sirven para prevenir y gestionar eventos no deseados con el objetivo de dar continuidad al negocio de la manera más eficiente y menos costosa posible”, comenta Camilo Gutiérrez Amaya, jefe del Laboratorio de Investigación de ESET Latinoamérica.
El estándar internacional para la continuidad del negocio, ISO 22301, la define como la “capacidad [de una organización] de continuar la prestación de productos o servicios en los niveles predefinidos aceptables tras incidentes de interrupción de la actividad”.
Es importante tener presente que este tipo de planes deben combinarse con otros planes, como los DRP (disaster recovery plan) y BCM (Business Continuity Management), ya que estos complementan el procedimiento de acciones que deben tomarse para darle la continuidad a un negocio ante un evento no deseado.
“Desafortunadamente algunas empresas deben cerrar cuando son afectadas por un desastre para el cual no estaban preparadas adecuadamente. Cualquier empresa de cualquier tamaño puede mejorar las posibilidades de superar un incidente que amenace con interrumpir su actividad y quedar en una pieza (con la marca intacta y sin merma en los ingresos) si sigue ciertas estrategias probadas y de confianza, más allá de que desee obtener la certificación ISO 22301 o no”, agrega Gutiérrez Amaya de ESET.
¿Cómo elaborar un plan de continuidad de negocio en cuatro pasos?
1. Identificar y ordenar las amenazas: Luego de identificar los productos, servicios o funciones clave para una organización y más tarde realizar un perfil de riesgo a través de una autoevaluación utilizando el marco de las 4P: Personas, Procesos, Beneficios y Asociaciones, crear una lista de los incidentes de interrupción de la actividad que constituyan las amenazas más probables para la empresa. No usar la lista de otro, porque las amenazas varían según la ubicación. Por ejemplo, puede que una zona sea más propensa a terremotos que otra y esto es importante para establecer el orden y prioridad de las acciones.
Por otra parte, es necesario plantearse algunas preguntas: ¿qué ocurre dónde se encuentra la empresa? ¿Y qué pasa con la fuga de datos o la interrupción de la infraestructura de TI, que pueden ocurrir en cualquier parte? ¿Estás ubicado cerca de una vía ferroviaria? ¿De una autopista importante? ¿Cuánto depende la empresa de proveedores extranjeros?
En esta etapa, una buena técnica es reunir personas de todos los departamentos en una sesión de intercambio de ideas. El objetivo de la reunión es crear una lista de escenarios ordenados por probabilidad de ocurrencia y por potencial de causar un impacto negativo.
2. Realizar un análisis del impacto en la empresa: Sin dudas se necesitará determinar qué partes de la empresa son las más críticas para que sobreviva. Siguiendo esta línea, es importante poder evaluar el potencial impacto de las interrupciones para la empresa y sus trabajadores. Se puede comenzar detallando las funciones, los procesos, los empleados, los lugares y los sistemas que son críticos para el funcionamiento de la organización.
De estas tareas se ocupa generalmente el líder del proyecto y, para ello, deberá entrevistar a los empleados de cada departamento y luego elaborar una tabla de resultados que liste las funciones, las personas principales y las secundarias. Esto permitirá determinar la cantidad de “días de supervivencia” de la empresa para cada función. ¿Cuánto puede resistir la empresa sin que una función en particular provoque un impacto grave?
3. Crear un plan de respuesta y recuperación: En esta etapa se deberán catalogar datos clave sobre los bienes involucrados en la realización de las funciones críticas, incluyendo sistemas de TI, personal, instalaciones, proveedores y clientes. Se deberán incluir números de serie de los equipos, acuerdos de licencia, alquileres, garantías, detalles de contactos, etc.
Se necesitará determinar “a quién llamar” en cada categoría de incidente y crear un árbol de números telefónicos para que se hagan las llamadas correctas en el orden correcto. También se necesitará una lista de “quién puede decir qué cosa” para controlar la interacción con los medios durante un incidente (considerar quedarse con una estrategia de “sólo el CEO” si se trata de un incidente delicado).
Deberán quedar documentados todos los acuerdos vigentes para mudar las operaciones a ubicaciones e instalaciones de IT temporales, de ser necesario. No olvidar documentar el proceso de notificación para los miembros de la empresa en su totalidad y el procedimiento de asesoramiento para clientes.
Los pasos para recuperar las operaciones principales deberían ordenarse en una secuencia donde queden explícitas las interdependencias funcionales. Cuando el plan esté listo, asegurarse de capacitar a los gerentes sobre los detalles relevantes para cada departamento, así como la importancia del plan general para sobrevivir a un incidente.
4. Probar el plan y refinar el análisis: La mayoría de los expertos en planes de continuidad de negocios recomiendan probar el plan al menos una vez al año, con ejercicios, análisis paso a paso o simulaciones. La prueba permite sacar el mayor provecho a lo que se invirtió en la creación del plan, pudiendo detectar fallas y dar cuenta de los cambios corporativos con el transcurso del tiempo, lo que sugiere que siempre conviene mantener, revisar y actualizar continuamente el plan de continuidad de la actividad.
“No cabe duda de que estos cuatro pasos significan un enorme trabajo, pero es una tarea que las empresas ignoran bajo su propio riesgo. Si el proyecto parece demasiado desalentador para aplicar a la empresa completa, considera comenzar por unos pocos departamentos o una sola oficina, si hay varias. Todo lo que vayas aprendiendo en el proceso se podrá aplicar en mayor escala a medida que progreses. Evita a toda costa pensar que las cosas malas no suceden, porque sí lo hacen. Sólo tienes que estar preparado. Y no pretendas que cuando ocurra algo no será tan malo, porque podría serlo”, asegura Gutiérrez Amaya de ESET Latinoamérica.
Para conocer más sobre seguridad informática visita el portal de noticias de ESET: https://www.welivesecurity.com/la-es/2022/12/15/gestion-continuidad-negocio-cuatro-pasos/
Por otro lado, ESET invita a conocer Conexión Segura, su podcast para saber qué está ocurriendo en el mundo de la seguridad informática. Para escucharlo ingrese a:
La Cámara de Representantes de EE.UU. votó este sábado a favor del proyecto de ley según el cual la empresa propietaria de TikTok, ByteDance, tendrá nueve meses para vender la red social. De no hacerlo, la aplicación será prohibida en las tiendas de ‘apps’ estadounidenses.
360 diputados votaron a favor de la legislación, mientras que 58 se opusieron y 13 se abstuvieron. La ley también prevé la confiscación de los activos rusos congelados en favor de Ucrania y sanciones contra Irán.
El documento prevé imponer sanciones a los puertos y refinerías que reciben y procesan petróleo iraní y sancionar a cualquier persona implicada en actividades cubiertas por el embargo de misiles de la ONU a Irán, que expiró el año pasado, o en el suministro o venta de misiles y aviones no tripulados iraníes. Además, se restringe aún más la exportación de bienes y tecnología de origen estadounidense a la República Islámica.
Los docentes del sector público de El Salvador están siendo capacitados en herramientas digitales de educación con apoyo de personal especializado de la empresa multinacional Google y el Ministerio de Educación (Mined).
Ayer, más de 50 maestros iniciaron dichas capacitaciones en el Centro de Formación Docente de Santa Tecla en temas como infraestructura tecnológica, administración de consolas, implementación de Google Workspace for Education Plus, entre otros.
Por lo tanto, el Mined informó que esta capacitación se lleva debido al establecimiento de alianzas entre Google y el Gobierno salvadoreño. «Gracias a la apertura de una nueva oficina de Google en nuestro país, bajo el liderazgo del presidente Nayib Bukele, nos sumamos a esta iniciativa de modernización y digitalización de los servicios públicos, en especial, para potenciar la integración de la tecnología en las aulas», publicó el Mined en la red social X.
Estos conocimientos mejorarán la práctica educativa en las escuelas, pues los maestros podrán incluir nuevos formatos y metodologías digitales en el proceso de aprendizaje. Además, Alejandro Almazán, jefe de Google para Educación en México, Centroamérica y el Caribe, afirmó en una entrevista publicada este 17 de abril en «Diario El Salvador» que más de 90,000 Chromebooks, computadoras de Google especializadas para educación, serán distribuidas entre estudiantes de cuarto grado de instituciones públicas del país como resultado de esta alianza.
Un informe presentado por la Red Latinoamericana por la Reducción de Daños Asociados al Tabaquismo (RELDAT) afirma que los cigarrillos electrónicos desempeñan una importante alternativa para que adultos fumadores abandonen el cigarrillo convencional. Se trata del informe “Mitos sobre el vapeo” (QA-RELDAT-MITOS-SOBRE-EL-VAPEO.pdf) presentado por doctores de diversos países de Latinoamérica, como México, Argentina, Ecuador, Brasil y Chile, entre otras naciones, y que promueve la aplicación exitosa de políticas de reducción de daños vinculados con el consumo de tabaco.
“La información disponible en la biblioteca Cochrane, considerada un estándar de oro en la medicina basada en la evidencia, concluye que los cigarrillos electrónicos con suministro de nicotina ayudan a dejar de fumar, hecho que se refleja en la importante caída de las tasas de tabaquismo que han experimentado países como Reino Unido y Nueva Zelanda en los últimos años”, explica en el informe el doctor Enrique Terán, MD PHD, profesor principal del Colegio de Ciencias de la Salud en la Universidad San Francisco de Quito, Ecuador.
“Es evidente que hay estrategias actuales del Control del Tabaco que incluyen la prohibición y la imposición de impuestos. Para lograr la cesación en aquellos fumadores que no han podido todavía dejar de fumar, se necesita de una alternativa adicional como son los cigarrillos electrónicos. Los fumadores muchas veces son conscientes de su situación e intentan abandonar el cigarrillo tradicional, pero desafortunadamente como tienen una adicción (a la nicotina) deben reconocer que es una enfermedad, y deben ser tratados como un paciente, el cual tiene diferentes alternativas para su tratamiento”, añade Terán en el informe.
Otro de los especialistas que forman parte de este estudio, el doctor argentino Diego Verrastro, MD, médico cirujano general especialista en Medicina de Emergencia, señala que para avanzar en políticas de reducción del daño el primero de los pasos es reconocer que “las estrategias para dejar de fumar, aunque son el camino ideal, en la práctica de la vida diaria el número de fumadores no disminuye como se espera. Hay que abrir los ojos al potencial de esta estrategia, entender y leer con detenimiento la evidencia científica independiente disponible y luego concienciarse de su aplicación como estrategia complementaria a las iniciativas de salud pública contra el tabaquismo ya existentes”.
Verrastro advierte de que la reducción de daños es el tercer pilar de una estrategia completa de lucha contra el tabaquismo, que empieza con la prevención, continúa con la ayuda a la cesación y termina con la reducción de daños. “A la luz de la evidencia científica disponible, se debe desarrollar una estrategia de regulación inteligente y enfocada a quienes deben tener acceso a estos productos, que no son otros que los adultos fumadores que no quieren o no pueden dejar de fumar. Estos productos, por ser productos intrínsecamente diferentes, con propiedades y componentes distintos a los cigarrillos convencionales, deben tener una regulación específica. Una equiparación normativa o legislativa por parte de las autoridades sólo engaña a la sociedad haciendo ver que ambos productos son la misma cosa, cuando en absoluto se pueden entender ambos productos como iguales”, expresa el doctor Diego Verrastro.
El informe de Reldat resalta la evidencia científica que reafirma que los cigarrillos electrónicos eliminan cerca del 98-99% de los compuestos nocivos detectados en los cigarrillos. También hacen hincapié en que todo fumador debe abandonar completamente el hábito de fumar y que para ello recurra a los métodos disponibles, incluyendo fármacos, terapia de reemplazo con nicotina y soporte psicológico.
