Lista de comprobación del plan de continuidad de la actividad empresarial
Una interrupción o un desastre pueden ocurrir cuando menos se lo espera. De hecho, el 80% de los gestores de centros de datos han sufrido una avería en los últimos tres años. Ya se trate de un ciberataque, una infección por ransomware, un error humano o una catástrofe natural, un tiempo de inactividad prolongado puede tener un impacto perjudicial en las operaciones de su organización.
Contar con un sólido plan de continuidad de negocio (PCN) como parte de su estrategia de gestión de riesgos le permite mantener o restablecer rápidamente las funciones críticas en caso de interrupción. Un BCP también protege la infraestructura de la empresa y sirve como esquema que puede seguir para responder adecuadamente a un incidente.
Este post enumera los elementos esenciales de la lista de comprobación del plan de continuidad de la actividad. Siga leyendo para descubrir el mejor curso de acción que debe seguir para reanudar con éxito las operaciones con repercusiones mínimas.
Por qué necesita un plan de continuidad de negocio
Un plan de continuidad de negocio (PCN) determina cómo una organización puede seguir ofreciendo productos y servicios durante interrupciones imprevistas. El plan de continuidad de las operaciones es una estrategia detallada que ayuda a mitigar el impacto de una catástrofe en las actividades cotidianas, al tiempo que mantiene en funcionamiento el entorno de producción.
Un plan de continuidad de negocio completo debe abordar todas las amenazas potenciales que puedan poner en peligro a sus empleados, recursos y operaciones, ya se trate de un apagón, una infección por malware o una catástrofe natural. Esto es especialmente importante, ya que todos estos acontecimientos pueden provocar tiempos de inactividad que, a su vez, se traducen en pérdidas económicas, daños a la reputación o el cierre definitivo.
El objetivo principal del plan de continuidad de la actividad es garantizar la preparación ante emergencias permitiendo a su equipo de respuesta completar metódicamente los pasos necesarios antes, durante y después de un escenario perturbador. Las empresas sin esta lista de comprobación pueden tener dificultades para mantener los procesos empresariales normales y arriesgarse a perder datos, sistemas o clientes, a menudo de forma irreparable.
Plan de continuidad empresarial en 7 pasos
La lista de comprobación de 7 pasos le ayuda a formular un marco general de prioridades en el que puede basarse para crear un plan de continuidad de la actividad adaptado a su organización. Puede incluir todos los procedimientos necesarios para mantener el funcionamiento de la empresa durante una crisis. Tenga en cuenta que los detalles exactos varían de una empresa a otra en función de distintos aspectos como el tamaño de la empresa, el sector y el tipo de amenazas.
El plan estándar de continuidad de la actividad suele incluir los siguientes pasos:
- Crear un equipo de respuesta ante catástrofes
- Identificar los servicios empresariales esenciales
- Evaluación de riesgos y análisis del impacto en la empresa
- Desarrollar un plan de recuperación
- Establezca objetivos de recuperación y designe un emplazamiento de DR.
- Garantizar la protección de todas las cargas de trabajo críticas para la empresa
- Pruebe y actualice su plan de continuidad de la actividad
Veamos con más detalle cada uno de estos pasos para entender por qué son elementos importantes de cualquier lista de comprobación de un PCN.
1. Crear un equipo de respuesta ante catástrofes
El primer paso para formular un plan de continuidad de la actividad consiste en reunir al equipo responsable de mantener la empresa en funcionamiento en caso de emergencia. El equipo del PCN debe incluir miembros de cada departamento implicado en las operaciones cotidianas, y debe contar con un responsable designado para encabezar los esfuerzos de planificación de la continuidad del negocio.
A la hora de identificar al personal clave del PBC, debe elaborar una lista exhaustiva de las catástrofes que suponen una mayor amenaza para su organización, de modo que pueda contratar a las personas adecuadas. Los distintos tipos de emergencias, como fallos del sistema informático, cortes de electricidad o daños en las instalaciones, requieren personal con conocimientos y experiencia específicos para gestionarlas adecuada y rápidamente.
Cree una tabla para registrar la información necesaria sobre los miembros del equipo de respuesta, de modo que pueda ponerse en contacto con ellos fácilmente cuando sea necesario. Su cuadro puede incluir el nombre, el cargo, la función del equipo de respuesta y la información de contacto. Ten en cuenta que debes asignar al menos un suplente para cada función del equipo. Esto le permite evitar cuellos de botella en caso de que los delegados principales no ejecuten sus responsabilidades.
2. Identificar los servicios empresariales esenciales
Uno de los principales objetivos del plan de continuidad de la actividad es ayudarle a identificar los procesos, equipos y recursos que son fundamentales para el funcionamiento de su organización. Estas son las funciones y servicios de infraestructura importantes en torno a los cuales debe construir su PCB.
Lo más probable es que estos servicios y elementos de infraestructura clave incluyan:
- Sistemas eléctricos y generadores
- Dispositivos de telecomunicaciones – WAN, LAN, teléfonos, ordenadores
- Sistemas informáticos y servidores
- Infraestructura de edificios e instalaciones
- Equipos especializados o suministros críticos para la empresa
Es crucial restaurar estos elementos lo antes posible en caso de interrupción para reanudar sus operaciones y proteger sus activos.
3. Evaluación de riesgos y análisis de impacto empresarial
Tras identificar los servicios empresariales clave, debe realizar una evaluación del impacto de los riesgos para descubrir las vulnerabilidades asociadas a los sistemas, actividades y recursos esenciales. La evaluación del riesgo estima la probabilidad de cada amenaza y refleja la probabilidad de que se produzca la catástrofe.
El análisis del impacto en la empresa (BIA), que suele realizarse junto con la evaluación de riesgos, permite evaluar la criticidad y gravedad del impacto en las operaciones de la empresa. El objetivo principal del BIA es analizar los costes financieros y operativos en los que incurriría en caso de materializarse el riesgo. Le ayuda a determinar el nivel de tolerancia de procesos y dependencias importantes, como clientes y socios, si las funciones empresariales clave se degradan, interrumpen o detienen por completo.
He aquí un cuadro simplificado que puede utilizar como plantilla para empezar a redactar su propio análisis:
| Proceso empresarial | Categoría de impacto | Gravedad | Tiempo de inactividad máximo tolerable (MTD) | Costes estimados | Dependencias |
Tenga en cuenta que las organizaciones con varias sedes deben realizar una evaluación de riesgos y un BIA por separado para cada una de ellas. Si estos lugares están alejados geográficamente, los retos y riesgos pueden ser diferentes. Un plan sólido de continuidad de la actividad también tiene en cuenta las relaciones y dependencias entre las distintas sedes.
4. Desarrollar un plan de recuperación
Una vez completados los pasos anteriores, es hora de crear un plan de recuperación que gire en torno al restablecimiento de sus operaciones tras una catástrofe. La continuidad de la actividad y la recuperación ante desastres van de la mano, sobre todo porque el plan de recuperación ante desastres (RD) es una parte esencial del plan de continuidad de la actividad. Para obtener plantillas de recuperación ante desastres más detalladas, descargue nuestro libro blanco gratuito Manual y plantillas de recuperación ante desastres.
El plan de DR describe los pasos técnicos que hay que dar para restablecer los servicios básicos lo antes posible. Tenga en cuenta que el plan de recuperación no se limita a los datos, ya que también debe incluir las máquinas, las cargas de trabajo y los procesos.
Su plan de recuperación puede aprovechar, entre otras, las siguientes estrategias:
- Procedimientos empresariales alternativos: por ejemplo, soluciones manuales para procesos mecanizados o automatizados hasta que los sistemas vuelvan a estar operativos.
- Un emplazamiento secundario o alternativo para reanudar las operaciones comerciales
- Conmutación por recuperación de redes y servidores a nivel local
- Recuperación de backups externos de datos críticos para la empresa
- Recursos «hot-spare» o de reserva, que pueden entrar en servicio inmediatamente cuando fallan los componentes primarios.
El siguiente vídeo explica cómo puede realizar una recuperación completa ante desastres utilizando NAKIVO Backup & Replication.
5. Establezca objetivos de recuperación y designe un emplazamiento de DR.
El objetivo de tiempo de recuperación o RTO determina cuánto tiempo de inactividad del sistema informático puede tolerar razonablemente una empresa antes de que se restablezcan los procesos o servicios. El objetivo de punto de recuperación o RPO define cuánta pérdida de datos puede tolerar una empresa. Tanto RTO como RPO son parámetros importantes en cualquier plan de continuidad de negocio.
La designación de un centro de recuperación ante desastres (DR) para la conmutación por error de redes/datos es crucial, ya que proporciona un sustituto inmediato en caso de que su centro de producción principal se quede sin conexión. Además, le ayuda a garantizar el cumplimiento de sus objetivos de recuperación.
La instalación de DR situada en una ubicación geográfica diferente actúa como una copia «en espera caliente» de sus recursos, como las máquinas virtuales (VM). En caso de que se produzca un fallo en todo el sitio que provoque la caída de la red de producción, el tráfico puede transferirse a la ubicación de DR. Las máquinas virtuales de «espera en caliente» se convierten esencialmente en cargas de trabajo de producción, restaurando las operaciones empresariales y garantizando la continuidad del negocio de forma eficiente.
Puede utilizar soluciones avanzadas de protección de datos de terceros para replicar las máquinas virtuales de producción a una ubicación de DR externa y establecer el intervalo de replicación para alinearlo con su RPO. La réplica de la máquina virtual es una copia exacta de la máquina original y puede utilizarse en un proceso de conmutación por error automatizado al implementar su plan de recuperación ante desastres.
6. Garantizar la protección de todas las cargas de trabajo críticas para la empresa
El impacto de un desastre puede mitigarse significativamente protegiendo adecuadamente los datos críticos de su empresa. Haga backups resilientes aplicando la regla 3-2-1: tenga un mínimo de 3 backups en 2 tipos diferentes de medios de almacenamiento, con al menos 1 copia almacenada externamente.
Hacer backups de datos empresariales siguiendo la metodología de backups 3-2-1 para conseguir los RPO y RTO más cortos posibles. Esto también le permite asegurarse de que el mismo desastre que afectó a su red de producción no pueda afectar también a sus datos de backups.
7. Pruebe y actualice su plan de continuidad de la actividad
Una vez completado el plan de continuidad de la actividad, hay que someterlo a pruebas rigurosas. La mejor manera de hacerlo es formando a sus empleados para asegurarse de que comprenden perfectamente sus funciones y responsabilidades. No se puede garantizar la preparación para emergencias si no se realizan periódicamente cursos de formación y simulacros. Y lo que es más importante, al realizar simulacros completos, puede identificar y corregir los puntos débiles de su plan.
Asegúrese de llevar a cabo todos los procedimientos para imitar el flujo de una catástrofe real. Este tipo de pruebas se realizan mejor trimestralmente, ya que los miembros clave del equipo se familiarizan con el proceso. Además, los cambios en su infraestructura, entorno, protocolos, cargas de trabajo y/o plantilla pueden introducir complicaciones en el plan. A menudo, estos posibles problemas sólo se descubren en el transcurso de las pruebas completas.
Las simulaciones deben ser vigiladas por un observador independiente que pueda tomar nota de todos los puntos vulnerables. Después de cada revisión, se debe hacer una reunión informativa y redactar un informe que documente los puntos débiles detectados y las actualizaciones propuestas. Los informes, así como el plan de continuidad de la actividad actualizado, deben compartirse con todos los miembros del equipo.
Lista de comprobación del plan de continuidad de la actividad
He aquí una lista de comprobación simplificada del plan de continuidad de las operaciones que le permitirá pasar por las fases necesarias para garantizar la preparación ante emergencias.
Crear un equipo de respuesta ante catástrofes
- Asignación de un responsable del PBC
- Crear un comité de continuidad de la actividad
- Elegir a los miembros del equipo de respuesta
- Definir funciones y responsabilidades
- Elegir delegados secundarios para cada miembro del equipo
- Establecer una comunicación clara entre todos los miembros
Identificar los servicios empresariales esenciales
- Mapa de todos los sistemas de energía
- Identificar los dispositivos de telecomunicación
- Identificar los sistemas y servidores informáticos
- Identificar las instalaciones y el equipo especializado
- Identificar la interdependencia entre servicios
- Compruebe los servicios de emergencia
Evaluación de riesgos y análisis del impacto en la empresa
- Identificar amenazas y vulnerabilidades
- Establecer la tolerancia al riesgo
- Determinar los procesos empresariales críticos
- Calcular el tiempo de inactividad máximo tolerable para cada servicio
- Analizar el impacto financiero, jurídico, normativo y en los clientes
- Identificar la interdependencia entre las funciones críticas de la empresa
Desarrollar un plan de recuperación
- Cree su plan de continuidad de las operaciones (COOP)
- Elaborar soluciones manuales para los procesos automatizados
- Prepárese para la conmutación por error de redes y servidores a nivel de sitio
- Prueba de recuperación de backups externos de datos críticos
- Garantizar la disponibilidad de recursos de reserva
Establezca objetivos de recuperación y designe un emplazamiento de DR.
- Designe un emplazamiento secundario para reanudar las operaciones comerciales
- Establezca objetivos de punto de recuperación (RPO).
- Establecer objetivos de tiempo de recuperación (RTO)
- Gestionar los procesos de recuperación ante desastres
Proteja los datos críticos para la empresa
- Hacer backups de datos críticos para la empresa
- Almacene los datos en dispositivos de almacenamiento locales y externos.
- Almacenar backups aislados de la red
- Habilitar la inmutabilidad para backups específicos
Pruebe y actualice su plan de continuidad de la actividad
- Realización de pruebas anuales, semestrales y trimestrales
- Realización anual de simulacros completos de PBC.
- Crear un proceso de auditoría
- Identificar las vulnerabilidades y actualizar el plan
- Forme a sus empleados
Conclusión
Una lista de comprobación del plan de continuidad de la actividad es esencial para garantizar que los servicios puedan seguir funcionando sin problemas mientras se recuperan las cargas de trabajo afectadas tras un suceso perturbador. Las organizaciones que no crean un PCN corren el riesgo de sufrir importantes tiempos de inactividad y pérdidas de datos que pueden causar daños financieros y de reputación irreparables.
Esta lista de comprobación proporciona el marco para un plan eficaz de continuidad de la actividad que puede ayudarle a resistir incluso en los peores escenarios. Tenga en cuenta que un BCP no puede estar completo sin una solución avanzada de protección de datos como NAKIVO Backup & Replication. La solución NAKIVO incluye todas las herramientas que necesita para hacer backups y procesos de recuperación, automatizar los flujos de trabajo de DR y realizar pruebas de DR no disruptivas para garantizar el cumplimiento de sus objetivos de recuperación.
