El objetivo de la gestión de riesgos no es eliminar todos los riesgos, sino reducir efectivamente su probabilidad e impacto. Una forma de hacerlo es a través de la planificación de la continuidad empresarial.

Tener un plan de continuidad empresarial puede ayudar a su organización a seguir operando en alguna capacidad durante un desastre.

A continuación, obtenga respuestas directas sobre qué incluye un plan de continuidad empresarial, por qué es importante y cómo redactar uno. También encontrará una plantilla de continuidad empresarial para simplificar el proceso.

¿Qué es un plan de continuidad empresarial?

Un plan de continuidad empresarial es un documento que contiene un conjunto predeterminado de procedimientos que describen cómo una organización mantendrá sus operaciones comerciales durante y después de una interrupción significativa.

Esta interrupción puede ser causada por una amplia gama de amenazas, incluidas desastres naturales, fallos técnicos y ciberataques.

¿Qué es la gestión de la continuidad empresarial?

Un plan de continuidad empresarial es una parte de la gestión de la continuidad empresarial (BCM). La BCM incluye la evaluación de riesgos, la planificación de respuestas, la recuperación y el mantenimiento a largo plazo de las políticas y procedimientos desarrollados, probados y utilizados cuando ocurre una crisis.

¿Cuál es el objetivo principal de la planificación de la continuidad empresarial?

El objetivo principal de la planificación de la continuidad empresarial es identificar las preparaciones y acciones de recuperación que pueden ayudar a una organización a reanudar operaciones y servicios lo más rápido posible durante y después de una crisis.

Por ejemplo, la mayoría de las operaciones comerciales dependen en gran medida de la tecnología y los sistemas automatizados, y la interrupción de estos sistemas, incluso por unas pocas horas, puede causar problemas graves. Considere una interrupción de Zoom. Esto puede afectar las reuniones con colegas, clientes y prospectos, así como proyectos y acuerdos importantes. Una empresa con un plan de continuidad empresarial que haya identificado una herramienta de sustitución para las reuniones de video podrá recuperarse más rápido que una empresa sin uno.

Para asegurar que su negocio funcione lo más suavemente posible incluso cuando se enfrente a fallos del sistema, ciberataques, desastres naturales y otras interrupciones importantes, debe haber una conciencia de las posibles crisis que podrían impactar los sistemas críticos, herramientas y habilidades de su organización y un plan para manejarlas.

La planificación de la continuidad empresarial también es importante para obtener y mantener el cumplimiento con algunos estándares de privacidad y seguridad, incluido SOC 2®. Veamos este otro motivo para crear un BCP y mantenerlo actualizado.

¿Por qué es importante un plan de continuidad empresarial para el cumplimiento de SOC 2?

Un plan de continuidad empresarial es parte de la documentación que un auditor de SOC 2 probablemente revisará, junto con sus sistemas y controles de seguridad, para determinar su nivel de cumplimiento con los Criterios de Servicios de Confianza (TSC) que ha seleccionado. Este plan es especialmente importante si incluye Disponibilidad como TSC en su auditoría de SOC 2.

Los controles de Disponibilidad en SOC 2 se centran en minimizar el tiempo de inactividad. Por lo tanto, la evaluación de riesgos es esencial.

Un auditor de SOC 2 probablemente revisará si su empresa ha identificado y pensado en formas de mitigar las amenazas ambientales que podrían afectar la disponibilidad del sistema, como huracanes, tornados e incendios forestales. El mismo proceso debe aplicarse a las amenazas “provocadas por el hombre”, como el robo y los ciberataques.

Un auditor de SOC 2 también probablemente revisará si su plan de continuidad empresarial puede aplicarse a eventos imprevistos que podrían afectar la disponibilidad y capacidad de su sistema, como una pandemia global.

Es probable que un auditor también revise si has probado tu Plan de Continuidad de Negocio (BCP) en el último año (al menos).

¿Quién es responsable de la planificación de la continuidad del negocio?

La planificación de la continuidad del negocio debe ser un esfuerzo de arriba hacia abajo. Es decir, debe contar con el apoyo y la participación voluntaria de un director o gerente senior de la empresa. Aunque actuarán como el patrocinador ejecutivo, se debe nombrar a otra persona como el coordinador del BCP. Dependiendo del tamaño de la organización, también puede ser necesario nombrar un equipo de planificación que represente todas las áreas principales de operaciones para asistir al coordinador del BCP.

Este coordinador y/o equipo deben ser debidamente anunciados y capacitados para llevar a cabo una serie de responsabilidades, incluyendo descubrir las debilidades de tu empresa y hacer planes para mitigarlas, probar esos planes para asegurarse de que sean efectivos para diferentes tipos de crisis y actualizarlos a medida que surjan nuevas amenazas.

¿Cuál es la diferencia entre un plan de continuidad del negocio, un plan de recuperación ante desastres y un plan de respuesta a incidentes?

Existen varios planes de contingencia y continuidad que pueden ayudar a minimizar el impacto de eventos catastróficos. Veamos a continuación los tres planes más comunes y cómo se diferencian entre sí.

Plan de continuidad del negocio vs plan de recuperación ante desastres

La principal diferencia entre un plan de continuidad del negocio y un plan de recuperación ante desastres es que un BCP proporciona procedimientos para mantener las operaciones comerciales mientras se recupera de una interrupción significativa, mientras que un DRP proporciona procedimientos para recuperar las operaciones de los sistemas de información después de una interrupción significativa del sistema, como una falla importante de software o un desastre natural, reubicándolos en una ubicación alternativa.

Muchas organizaciones eligen combinar sus planes de continuidad del negocio y de recuperación ante desastres en un solo documento. Sin embargo, algunas optan por crearlos como documentos independientes.

Plan de continuidad del negocio vs respuesta a incidentes

La principal diferencia entre un plan de continuidad del negocio y un plan de respuesta a incidentes es que un BCP proporciona procedimientos para mantener las operaciones comerciales mientras se recupera de una interrupción significativa, mientras que un IRP proporciona procedimientos para mitigar y corregir un sistema después de un incidente de seguridad, como un virus o un troyano.

Un plan de IRP debe detallar un proceso de recuperación para cuando ocurran incidentes de seguridad.

Este es otro documento crucial que un auditor de SOC 2 probablemente revisará para determinar tu nivel de cumplimiento con el TSC que has seleccionado.

¿Qué incluye típicamente un plan de continuidad del negocio?

Un plan de continuidad del negocio típicamente incluye lo siguiente:

  • Servicios, procesos y recursos críticos para la misión: Todo BCP debe incluir una lista de servicios, procesos y recursos críticos para la misión. Estos deben recuperarse primero cuando ocurre un evento de BCP para minimizar el tiempo de inactividad.
  • Consideraciones para ubicaciones alternativas: Durante un evento significativo del Plan de Continuidad del Negocio (BCP), una organización puede necesitar utilizar centros de datos de respaldo, sitios de respaldo para operaciones, ubicaciones remotas u otras ubicaciones alternativas. Estos típicamente se documentan en el BCP junto con consideraciones como la accesibilidad de estos sitios alternativos, alternativas de transporte a estos sitios, la cantidad de personal necesario para realizar actividades críticas en estos sitios y otros recursos que serán necesarios.
  • Relaciones con proveedores: Las organizaciones pueden categorizar a los proveedores en niveles de riesgo y evaluar el riesgo en sus planes de BCP.
  • Servicios de telecomunicaciones y consideraciones tecnológicas: Las organizaciones suelen detallar estrategias para mantener operaciones durante interrupciones en las comunicaciones en su BCP. Esto puede incluir el uso de múltiples proveedores de telecomunicaciones, líneas telefónicas secundarias, tecnología en la nube, líneas telefónicas temporales, unidades móviles de telecomunicaciones y Wi-Fi para el personal sin energía, así como servicios móviles de respaldo con diferentes operadores.
  • Planes de comunicación: Las organizaciones típicamente establecen planes de comunicación con personal, clientes y otras terceras partes externas, incluidos reguladores, intercambios y oficiales de emergencia, en su BCP.
  • Consideraciones de regulación y cumplimiento: Las organizaciones suelen incluir requisitos regulatorios en sus BCP y deben actualizarlos regularmente para incluir cualquier nuevo requisito.
  • Métodos de revisión y prueba: Las organizaciones deben incluir cómo se revisa y prueba su BCP y con qué frecuencia. Por ejemplo, pueden realizar pruebas completas del BCP al menos una vez al año o antes si se realizan cambios significativos. También pueden realizar capacitaciones para empleados o requerir que los empleados revisen su BCP anualmente para asegurar que todo el personal esté familiarizado con el plan y sus responsabilidades.
  • Objetivos de recuperación: Un BCP típicamente incluye objetivos clave de recuperación que ayudan a las organizaciones a planificar cuán rápido necesitan recuperar datos y sistemas para minimizar interrupciones y mantener operaciones sin problemas durante eventos inesperados. Estos se definen a continuación:
    - RPO (Objetivo de Punto de Recuperación): RPO establece el límite de cuánto pérdida de datos puede tolerar un negocio después de una interrupción. Define el punto en el tiempo más reciente aceptable para recuperar datos, minimizando pérdidas potenciales.
    - RTO (Objetivo de Tiempo de Recuperación): RTO es el tiempo máximo de inactividad aceptable para sistemas o procesos. Indica con qué rapidez un negocio necesita recuperarse y reanudar operaciones normales después de una interrupción.

Ejemplo de plan de continuidad del negocio

Este ejemplo de plan de continuidad del negocio de Santa Cruz Health está diseñado para que diferentes instalaciones lo personalicen para asegurar que se tomen medidas para preparar y pre-positionar recursos para asegurar la continuidad de los servicios y procesos críticos para la misión en caso de un evento que interrumpa las operaciones normales y afecte las operaciones esenciales de la instalación. Está dividido en varias secciones, incluyendo:

  1. General: Describe el propósito del BCP, como se mencionó anteriormente.
  2. Activación: Describe brevemente cuándo se debe activar el plan.
  3. Descripción general: Describe brevemente qué es el plan, cómo se desarrolló, qué pasos se necesitan tomar para asegurar su efectividad y qué está incluido.
  4. Requisitos de continuidad: Enumera los servicios críticos para la misión de la instalación, procesos, equipos y suministros, aplicaciones de TI, registros y personal de continuidad del negocio.
  5. Acciones de continuidad y recuperación: Enumera procedimientos después de la ocurrencia de diferentes eventos de BCP, incluyendo pérdida de energía, pérdida de HVAC y reubicación de servicios departamentales a una ubicación alternativa.

Cómo escribir un plan de continuidad de negocios

Ahora es el momento de comenzar a formular y desarrollar su plan de continuidad de negocios. Para guiarle a través del proceso, hemos desglosado el proceso en seis pasos clave. También hemos proporcionado una plantilla a continuación para ayudarle a comenzar.

1. Identifique y evalúe sus riesgos.

La primera gran tarea de escribir un BCP es identificar los riesgos o amenazas en su entorno y determinar cómo podrían impactar sus operaciones. Por ejemplo, algunas amenazas ambientales pueden causar daños físicos a su edificio. Otros tipos de amenazas pueden afectar a su personal y sus familias. 

Los riesgos que son más amenazantes para sus operaciones deben ser priorizados.

2. Identifique los elementos críticos de su organización.

La siguiente gran tarea es identificar las herramientas, sistemas y habilidades que son esenciales para sus operaciones y qué tan críticos son para su recuperación. Puede iniciar la lluvia de ideas planteando la pregunta, ¿cómo logramos nuestros objetivos?

Por ejemplo, digamos que uno de sus servicios críticos es la recaudación de fondos. En ese caso, un activo crítico podrían ser las tarjetas de promesa. El proveedor que imprime sus tarjetas de promesa también se consideraría crítico.

Al identificar estos sistemas, herramientas y habilidades, también querrá determinar qué recursos serían necesarios para restaurarlos y, por lo tanto, reanudar los servicios y procesos críticos en los que participan. Ejemplos de requisitos de recursos son instalaciones, personal, equipo, software, archivos de datos, componentes del sistema y registros vitales.

Esto ayudará a determinar los niveles de prioridad para secuenciar las actividades de recuperación. En otras palabras, ¿qué debe ser restaurado primero para volver al trabajo lo más rápido posible durante y después de una crisis?

3. Identifique formas de mitigar riesgos.

Ahora que comprende los riesgos y elementos críticos únicos de su organización, está listo para crear un plan de acción.

Comience identificando estrategias que eliminarán los riesgos que identificó en el paso 1 por completo. Si eso no es posible, identifique estrategias que disminuirán su impacto. Por ejemplo, es imposible eliminar completamente la amenaza de amenazas ambientales como tormentas de nieve. En su lugar, puede crear un procedimiento para que sus empleados y contratistas trabajen de forma remota si una tormenta de nieve imposibilita o dificulta llegar a la oficina. Esto requerirá que todos los empleados y contratistas tengan los suministros y equipos adecuados y reciban las mismas comunicaciones.

Estas estrategias de mitigación están diseñadas para eliminar o disminuir el impacto de una amenaza antes de una crisis y, por lo tanto, deben ser implementadas lo más rápido posible.

4. Identifique formas de prepararse para y recuperarse de la pérdida de cualquier elemento crítico.

Dado que es imposible eliminar todas las amenazas que enfrenta su organización, su próximo paso es identificar tantas estrategias como sea posible para lidiar con la pérdida de cada elemento crítico identificado en el paso 2.

Por ejemplo, instalar sistemas de protección como un sistema de seguridad, sistema de alarma contra incendios y software antivirus, todos pueden considerarse estrategias para prepararse y recuperarse de la pérdida de elementos críticos causados por robos, vandalismo, peligros ambientales, ciberataques y otras amenazas.

El objetivo es inventar tantas estrategias de preparación como sea posible para estar mejor preparado y recuperarse de la pérdida de activos críticos durante y después de una crisis.

Durante la etapa de revisión o prueba, puede eliminar cualquier estrategia que sea demasiado lenta o costosa.

5. Prepárese para cómo responderá después de una crisis.

Ahora que los planes y estrategias están en marcha, puede tomar medidas para mejorar la eficiencia y la calidad de la respuesta de su organización ante una crisis y ayudarle a volver al trabajo lo más rápido posible.

Considere crear un equipo de recuperación que pueda evaluar sus pérdidas e iniciar acciones de recuperación después de una crisis. Los roles y responsabilidades de este equipo pueden estar documentados en su BCP.

6. Actualice y pruebe su plan de continuidad del negocio.

Su plan de continuidad del negocio es un documento vivo. Debe actualizarse para reflejar los riesgos y necesidades cambiantes de su negocio. Ya sea que esté integrando un nuevo software que de repente se bloquea o incorporando a un nuevo miembro del equipo de gestión, su BCP debe reflejar estos cambios.

Si no hay cambios importantes que afecten a su negocio, aún debe probar su plan de continuidad del negocio una vez al año como mínimo. Esta es una práctica recomendada y un requisito de cumplimiento. Puede usar una variedad de métodos de prueba, incluidos ejercicios de mesa y pruebas de simulación.

Probar y mantener la documentación actualizada como esta es una parte importante del cumplimiento continuo.

Plantilla de plan de continuidad del negocio

Use esta plantilla para comenzar a identificar los riesgos, elementos críticos, acciones de mitigación y estrategias de preparación que conformarán los componentes básicos de su plan de continuidad del negocio.

Preguntas frecuentes

¿Cuáles son los beneficios de un plan de continuidad del negocio?

La implementación y el mantenimiento de un plan de continuidad del negocio efectivo ofrece una variedad de beneficios, que incluyen:

  • costos reducidos y menor impacto en el rendimiento del negocio cuando ocurre una interrupción
  • un enfoque coherente en toda la organización para responder y recuperarse de una interrupción significativa
  • garantía para clientes, proveedores, reguladores y otras partes interesadas de que la organización tiene sistemas y procesos en su lugar para la continuidad del negocio
  • mejora del rendimiento empresarial y la resiliencia organizativa
  • una mejor comprensión del negocio, sus problemas críticos y áreas de vulnerabilidad

¿Cuáles son los 5 componentes de un plan de continuidad del negocio?

Si bien cada plan de continuidad del negocio es único, cinco componentes clave son:

  • Riesgos y su impacto potencial en el negocio y la probabilidad de que ocurran
  • Servicios, procesos y recursos críticos para la misión
  • Acciones de mitigación de riesgos
  • Estrategias de preparación para prepararse y recuperarse de la pérdida de cualquier elemento crítico
  • Capacitación, pruebas y mantenimiento del plan

¿Cuáles son las 4 P’s de la continuidad del negocio?

Las cuatro P de la continuidad del negocio son personas, procesos, instalaciones y proveedores. A continuación se definen cada una de ellas:

  • Personas: Esto incluye a tus empleados y clientes.
  • Procesos: Esto incluye la tecnología y los procesos que utiliza tu negocio para mantener todo en funcionamiento.
  • Instalaciones: Esto incluye los edificios y espacios desde los cuales opera tu negocio.
  • Proveedores: Esto incluye socios, vendedores y suministradores de los que tu negocio depende para obtener recursos.

¿Cuál es un ejemplo real de continuidad del negocio?

Un ejemplo real de continuidad del negocio es la respuesta a la crisis del agua en Ciudad del Cabo, que comenzó en 2015. Durante un período de sequía severa, Ciudad del Cabo implementó varias estrategias de respuesta y recuperación que evitaron la catástrofe de quedarse sin agua —también conocida como “Día Cero”. Esto incluyó la introducción de metodologías innovadoras de reducción de presión para frenar las pérdidas de agua, una reducción sostenida en el uso del agua y programas efectivos de comunicación y concienciación pública para evitar el “Día Cero”.

¿Cómo escribo un plan de BCM?

A continuación, un proceso paso a paso para escribir un plan de BCM:

  1. Identificar y evaluar riesgos (puedes usar las 4 P's)
  2. Identificar productos, servicios o funciones críticos para la misión
  3. Evaluar el impacto potencial de los riesgos y las interrupciones en los elementos críticos
  4. Enumerar acciones para mitigar estos riesgos
  5. Enumerar estrategias para prepararse y recuperarse de la pérdida de cualquier elemento crítico
  6. Mantener, revisar y actualizar continuamente el plan de continuidad del negocio

¿Por qué fallan los planes de continuidad del negocio?

Los planes de continuidad del negocio fallan por varias razones, siendo la más común la falta de compromiso de la alta dirección. Otras razones son que no se asigna a alguien para tomar responsabilidad de la planificación de la continuidad del negocio, o que el plan no se prueba y actualiza regularmente para mantenerse al día con los cambios que afectan al negocio.

Usa la confianza para acelerar el crecimiento

Solicitar una demoangle-right
cta-bg

SOC 1®, SOC 2® y SOC 3® son marcas registradas del Instituto Americano de Contadores Públicos Certificados en los Estados Unidos. Los Criterios de Servicios de Confianza en Seguridad, Disponibilidad, Integridad del Procesamiento, Confidencialidad y Privacidad de la AICPA® están protegidos por derechos de autor de la Asociación de Contadores Profesionales Internacionales Certificados. Todos los derechos reservados.