La perspectiva de Cyber Academy
BCM es la disciplina que identifica las amenazas a las operaciones críticas y diseña los planes y procedimientos para mantenerlas en funcionamiento durante una interrupción. No es un proyecto puntual. El equipo de BCM que responde eficazmente ante un incidente real es el que realizó un ejercicio de simulación cuatro meses antes y registró por escrito lo que falló.
Qué cubre realmente la gestión de la continuidad del negocio
La gestión de la continuidad del negocio es la disciplina de gestión que mantiene en funcionamiento las actividades más importantes de una organización, o las restablece rápidamente, cuando algo va mal. El desencadenante puede ser un incidente cibernético, el colapso de un proveedor, una inundación, un corte de energía o una pandemia. No es necesario prever la amenaza por su nombre. Lo que importa es que la actividad que esa amenaza dejaría fuera de servicio haya sido identificada, priorizada y dotada de un plan probado para recuperarla dentro de un plazo aceptable.
El alcance es deliberadamente amplio. La gestión de la continuidad del negocio contempla las personas, las instalaciones, la tecnología, los proveedores y la información, no solo el parque informático. Esa es la primera cosa que la distingue de la recuperación ante desastres, que es el subconjunto centrado en la informática que se ocupa de restaurar la infraestructura, las aplicaciones y los datos. Un banco puede restaurar todos los servidores y aun así no poder operar porque el centro de llamadas no tiene dónde ubicarse y el tercero que valora sus operaciones está fuera de servicio. La gestión de la continuidad del negocio es responsable de ese panorama completo.
También es un ciclo continuo, no un proyecto con fecha de finalización. Los planes quedan desactualizados en cuanto una organización se reorganiza, adopta un nuevo sistema o incorpora a un nuevo proveedor crítico. Los equipos que rinden ante un incidente real son los que ensayaron un escenario recientemente y registraron lo que falló, para luego corregirlo antes de la siguiente ronda.
El ciclo de vida fundamental de la gestión de la continuidad del negocio
La mayoría de los programas siguen una secuencia reconocible, reflejada en la norma internacional ISO 22301:
- Análisis de impacto en el negocio. El estudio estructurado que clasifica cada actividad según la gravedad con que la interrupción la perjudica a lo largo del tiempo y produce los objetivos de recuperación.
- Evaluación de riesgos. Identificar las amenazas y vulnerabilidades con mayor probabilidad de interrumpir las actividades priorizadas.
- Estrategia y soluciones. Decidir cómo mantener las actividades en funcionamiento o recuperarlas: sitios alternativos, soluciones provisionales, redundancia, diversificación de proveedores.
- Planes y procedimientos. Redactar el plan de continuidad del negocio, la estructura de respuesta a incidentes y los manuales de recuperación que las personas usarán realmente bajo presión.
- Ejercicios y revisión. Ejercicios de simulación teórica y pruebas en vivo, revisiones posteriores a incidentes y auditorías que reincorporan las correcciones al ciclo.
El lugar de la gestión de la continuidad del negocio en el panorama regulatorio
La continuidad ha pasado de ser una buena práctica a una obligación supervisada en varios sectores. ISO 22301 especifica los requisitos de un sistema de gestión de la continuidad del negocio certificable y es la referencia con la que se alinean la mayoría de las organizaciones. En la Unión Europea, el Digital Operational Resilience Act establece expectativas de continuidad y de pruebas para las entidades financieras, y la Directiva NIS 2 exige medidas de continuidad del negocio, incluidas las copias de seguridad y la gestión de crisis, a los operadores de sectores esenciales e importantes.
La certificación no es obligatoria para hacer bien la gestión de la continuidad del negocio, pero ofrece a los auditores, los reguladores y los grandes clientes una base reconocida. Busque o no un certificado un programa, se aplican las mismas disciplinas: conocer las actividades críticas, fijar objetivos de recuperación defendibles, redactar planes utilizables y demostrar que funcionan probándolos.
Frequently asked questions
01¿Cuál es la diferencia entre continuidad del negocio y recuperación ante desastres?
La recuperación ante desastres es el subconjunto de la continuidad del negocio centrado en la informática que restaura la infraestructura, las aplicaciones y los datos. La continuidad del negocio es más amplia: cubre las personas, las instalaciones, los proveedores y los procesos, además de la tecnología, de modo que toda la organización pueda seguir operando.
02¿Se requiere la certificación ISO 22301 para la gestión de la continuidad del negocio?
No. ISO 22301 es la norma internacional frente a la que puede certificar un sistema de gestión de la continuidad del negocio, pero hacer bien la gestión de la continuidad del negocio no requiere un certificado. La certificación ofrece a los reguladores y a los clientes una base reconocida y es cada vez más esperada en los sectores regulados.
03¿De dónde provienen el RTO y el RPO en un programa de gestión de la continuidad del negocio?
Son resultados del análisis de impacto en el negocio. El RTO es el tiempo máximo que un proceso puede estar inactivo antes de un daño inaceptable, y el RPO es la pérdida máxima de datos tolerable medida en el tiempo. Ambos deben ser validados por los responsables del negocio, no fijados por TI por sí sola.
04¿Con qué frecuencia deben probarse los planes de continuidad del negocio?
Pruebe con regularidad en lugar de anualmente. Los ejercicios de simulación teórica son económicos y rápidos y exponen brechas que las revisiones documentales pasan por alto, por lo que muchos programas los realizan trimestralmente y los complementan con pruebas periódicas de recuperación en vivo.
05¿Quién debe ser responsable de la gestión de la continuidad del negocio en una organización?
La rendición de cuentas recae en la alta dirección, porque las decisiones de continuidad son decisiones de negocio sobre el tiempo de inactividad aceptable y la inversión. Un coordinador o un responsable de continuidad del negocio dirige el ciclo de vida, pero cada actividad crítica necesita un responsable que valide sus objetivos de recuperación y su plan.