Definición de plan de continuidad de empresarial
Un plan de continuidad empresarial es un documento que describe cómo seguirá funcionando una empresa durante una interrupción no planificada del servicio. Es más completo que un plan de recuperación ante desastres y contiene contingencias para procesos comerciales, activos, recursos humanos y socios comerciales, es decir, todos los aspectos empresariales que puedan verse afectados.
Los planes suelen contener una lista de comprobación que incluye los suministros, los equipos y las ubicaciones de las copias de seguridad del sitio. Los planes también pueden identificar a los administradores de planes e incluir información de contacto para personal de emergencia, personal clave y proveedores de copias de seguridad del sitio. Los planes pueden ofrecer estrategias detalladas sobre cómo mantener las operaciones de la empresa en caso de interrupciones a corto y largo plazo.
Un componente clave de un plan de continuidad de negocio (BCP) es un plan de recuperación tras desastre que contiene estrategias para manejar interrupciones de TI en redes, servidores, sistemas personales y dispositivos móviles. El plan debe cubrir cómo restablecer la productividad de la oficina y el software de la empresa para que se puedan satisfacer las necesidades clave de la empresa. El plan debe incluir soluciones manuales para que las operaciones puedan continuar hasta que se restablezcan los sistemas informáticos.
Un plan de continuidad de negocio para aplicaciones y procesos clave tiene tres aspectos principales:
- Alta disponibilidad: aportar la capacidad y los procesos necesarios para que una empresa tenga acceso a las aplicaciones independientemente de los fallos locales. Estos errores pueden producirse en los procesos de negocio, en los recursos físicos, en el hardware o software de TI.
- Operaciones continuas: proteger la capacidad para mantener los sistemas en funcionamiento durante una interrupción, ya sea inesperada o planificada, como las copias de seguridad o mantenimiento planificado.
- Recuperación ante desastres: establecer una forma de recuperar un centro de datos en un sitio diferente si un desastre destruye el sitio principal o lo deja inoperable.
Evolución de los planes de continuidad empresarial
La planificación de la continuidad del empresarial surgió a partir de la planificación de la recuperación tras desastre a principios de los 70. Las organizaciones financieras, tales como los bancos y las compañías de seguros, invirtieron en sitios alternativos. Las cintas de copia de seguridad se almacenaban en sitios protegidos alejados de los sistemas. Los esfuerzos de recuperación casi siempre llegaban tras un incendio, una inundación, una tormenta u otro desastre físico. En la década de los 80 crecieron los sitios de recuperación comercial que ofrecían servicios informáticos de forma compartida, pero el énfasis seguía estando solo en la recuperación de TI.
La década de los 90 supuso un fuerte aumento de la globalización corporativa y la generalización del acceso a los datos. Las empresas pensaban más allá de la recuperación tras el desastre y de una forma más holística en todo el proceso de continuidad empresarial. Las empresas se dieron cuenta de que sin un plan exhaustivo de continuidad del empresarial podrían perder clientes y su ventaja competitiva. Al mismo tiempo, la planificación de la continuidad del empresarial era cada vez más compleja, ya que había que tener en cuenta las arquitecturas de aplicaciones como aplicaciones distribuidas, procesamiento distribuido, datos distribuidos y entornos de computación híbrida.
Hoy en día, las organizaciones son cada vez más conscientes de su vulnerabilidad a los ciberataques, que pueden paralizar un negocio o destruir permanentemente sus sistemas informáticos. Además, la transformación digital y la hiperconvergencia crean pasarelas no intencionadas a riesgos, vulnerabilidades, ataques y fallos. Los planes de continuidad de empresarial deben incluir una estrategia de resiliencia cibernética que pueda ayudar a un negocio a soportar incidentes cibernéticos disruptivos. Los planes suelen incluir formas de defenderse de dichos riesgos, proteger aplicaciones y datos cruciales y recuperarse de una infracción o fallo de una manera controlada y cuantificable.
También existe la cuestión del aumento exponencial de los volúmenes de datos. Las aplicaciones como soporte de decisiones, el repositorio de datos, la minería de datos y la gestión de recursos de los clientes pueden requerir inversiones de tamaño de petabytes en el almacenamiento en línea.
La recuperación de datos ya no se presta a un enfoque unidimensional. La compleja infraestructura informática de la mayoría de las instalaciones ha superado la capacidad de la mayoría de los comercios para responder de la forma en que lo hacían hace unos años. Diversos estudios han demostrado que, sin una planificación adecuada, las empresas que se recuperan de algún modo de una catástrofe no suelen sobrevivir a medio plazo.
¿Por qué es importante un plan de continuidad empresarial?
Es importante contar con un plan de continuidad empresarial para identificar y abordar la sincronización de la resiliencia entre los procesos, aplicaciones e infraestructura informática de la empresa. Según IDC, un fallo en la infraestructura puede costar una media de 100,000 dólares por hora, y un fallo de una aplicación esencial puede costar entre 500,000 y 1 millón de dólares por hora.
Para resistir y prosperar durante estas numerosas amenazas, las empresas se han dado cuenta de que necesitan hacer algo más que crear una infraestructura fiable que soporte el crecimiento y proteja los datos. Las empresas están desarrollando ahora planes holísticos de continuidad de negocio que puedan mantener su negocio en funcionamiento, proteger los datos, salvaguardar la marca, retener a los clientes y, en última instancia, ayudar a reducir los costos operativos totales a largo plazo. Contar con un plan de continuidad de negocio puede minimizar el tiempo de inactividad y lograr mejoras sostenibles en la continuidad del negocio, la recuperación tras desastre de TI, las capacidades de gestión de crisis corporativas y la conformidad normativa.
Sin embargo, desarrollar un plan integral de continuidad empresarial se ha vuelto más complicado, ya que los sistemas están cada vez más integrados y distribuidos en entornos informáticos híbridos, lo que genera vulnerabilidades potenciales. Vincular más sistemas esenciales para gestionar mayores expectativas complica la planificación de la continuidad del negocio, junto con la recuperación de desastres, la resistencia, la conformidad normativa y la seguridad. Cuando se rompe un eslabón de la cadena o sufre un ataque, el impacto puede repercutir en toda la empresa. Una organización puede hacer frente a pérdida de ingresos y a la erosión de la confianza de los clientes si no logra mantener la resiliencia del negocio mientras se adapta rápidamente y responde a los riesgos y a las oportunidades.
Usar consultorías, software y soluciones basadas en la nube para planes de continuidad empresarial
frente a los actuales entornos de TI híbridos y a las demandas cambiantes del negocio. En un mundo siempre activo las 24 horas y 7 días a la semana, las empresas globales pueden obtener una ventaja competitiva, o perder oportunidad de mercado, en función de la fiabilidad con la que los recursos de TI atiendan a las necesidades básicas del negocio.
Algunas organizaciones utilizan servicios externos de consultoría en gestión de continuidad empresarial para identificar y abordar la sincronización de la resiliencia entre los procesos comerciales, las aplicaciones y la infraestructura informática. Los consultores pueden proporcionar una solución flexible de continuidad de negocio y de recuperación tras desastre para responder a las necesidades de una empresa, lo que incluye evaluaciones, planificación y diseño, implementación, pruebas y gestión completa de la continuidad del negocio.
Existen servicios proactivos, como los servicios de recuperación de infraestructuras informáticas de IBM, que ayudan a las empresas a identificar los riesgos y a garantizar que estén preparadas para detectar, reaccionar y recuperarse ante una interrupción.
Con el aumento de los ciberataques, las empresas están cambiando de un enfoque de recuperación tradicional/manual a un enfoque de resiliencia automatizado y definido por software. El enfoque de los servicios de ciberresiliencia de Kyndryl utiliza tecnologías avanzadas y las prácticas recomendadas para ayudar a evaluar riesgos, priorizar y proteger aplicaciones y datos empresariales esenciales. Estos servicios también pueden ayudar a las empresas a recuperarse rápidamente durante y después de un ataque cibernético.
Otras empresas recurren a servicios de copias de seguridad en la nube, como el sistema de recuperación ante desastres como servicio de Kyndryl, para contar con una replicación continua de aplicaciones, infraestructura, datos y sistemas esenciales para una rápida recuperación tras una interrupción informática. También hay opciones de servidores virtuales, como el sistema de recuperación de servidores virtualizados en la nube de Kyndryl, para proteger los servidores esenciales en tiempo real. Esto permite una rápida recuperación de las aplicaciones en un centro de resiliencia de Kyndryl, para mantener a las empresas operativas durante periodos de mantenimiento o periodos de inactividad inesperados.
Cada vez más organizaciones consideran que la respuesta es la coordinación de la resiliencia, un enfoque basado en la nube que utiliza la automatización de la recuperación tras desastres y un conjunto de herramientas de gestión de la continuidad empresarial diseñadas específicamente para entornos informáticos híbridos. Por ejemplo, el sistema de coordinación de resiliencia de Kyndryl ayuda a proteger las dependencias de los procesos empresariales en las aplicaciones, los datos y los componentes de la infraestructura. Aumenta la disponibilidad de las aplicaciones empresariales para que las empresas puedan acceder a la información detallada o de alto nivel necesaria en relación con el objetivo de punto de recuperación, el objetivo de tiempo de recuperación y el estado general de la continuidad informática desde un panel de control centralizado.
Características clave de un plan de continuidad empresarial eficaz
Los componentes de la continuidad del negocio son:
- Estrategia: objetos relacionados con las estrategias que utiliza la empresa para llevar a cabo las actividades cotidianas y que garantizan la continuidad de las operaciones
- Organización: objetos relacionados con la estructura, las habilidades, las comunicaciones y las responsabilidades de sus empleados
- Aplicaciones y datos: objetos relacionados con el software necesario para habilitar las operaciones empresariales, así como el método para ofrecer una alta disponibilidad que se utiliza para implementar dicho software
- Procesos: objetos relacionados con los procesos empresariales esenciales que son necesarios para el funcionamiento de la empresa, así como los procesos informáticos que se utilizan para garantizar su buen funcionamiento
- Tecnología: objetos relacionados con los sistemas, la red y la tecnología específica del sector que son necesarios para permitir la continuación de las operaciones y hacer copias de seguridad de las aplicaciones y los datos
- Instalaciones: objetos relacionados con la provisión de un sitio de recuperación tras desastres si se destruye el sitio primario
El plan de continuidad empresarial se convierte en una fuente de referencia en el momento de un suceso o crisis de continuidad empresarial y en el modelo de estrategia y táctica para hacer frente al suceso o a la crisis.
En la siguiente figura se ilustra un proceso de planificación de continuidad empresarial que utiliza Global Technology Services de Kyndryl. Es un bucle cerrado que da soporte a la iteración continua y a la mejora como objetivo. El proceso de planificación consta de tres secciones principales:
- Priorización empresarial: se identifican los diversos riesgos, amenazas y vulnerabilidades y se establecen prioridades.
- Integración en el sistema informático: se toma la información de la priorización empresarial y se diseña a rasgos generales el programa de continuidad empresarial.
- Gestión: se administra el sistema que se ha evaluado y diseñado.