Continuidad del negocio versus recuperación ante desastres: ¿Qué plan es el adecuado para usted? – Blog de IBM

Los planes de continuidad del negocio y recuperación ante desastres son estrategias de gestión de riesgos en las que confían las empresas para prepararse ante incidentes inesperados. Si bien los términos están estrechamente relacionados, existen algunas diferencias clave que vale la pena considerar al elegir cuál es el adecuado para usted:

• Plan de continuidad del negocio (BCP): Un BCP es un plan detallado que describe los pasos que una organización tomará para volver a las funciones comerciales normales en caso de un desastre. Mientras que otros tipos de planes podrían centrarse en un aspecto específico de la recuperación y la prevención de interrupciones (como un desastre natural o un ciberataque), los BCP adoptan un enfoque amplio y apuntan a garantizar que una organización pueda enfrentar la mayor variedad de amenazas posible.
• Plan de recuperación de desastres (PRD): De naturaleza más detallada que los BCP, planes de recuperación ante desastres Consisten en planes de contingencia sobre cómo las empresas protegerán específicamente sus sistemas de TI y datos críticos durante una interrupción. Además de los BCP, los planes de recuperación ante desastres ayudan a las empresas a proteger los datos y los sistemas de TI de muchos escenarios de desastre diferentes, como interrupciones masivas, desastres naturales, ransomware y el malware ataques, y muchos otros.
• Continuidad del negocio y recuperación ante desastres (BCDR): Continuidad del negocio y recuperación ante desastres (BCDR) Se pueden abordar juntos o por separado dependiendo de las necesidades del negocio. Recientemente, cada vez más empresas están avanzando hacia la práctica de las dos disciplinas juntas, pidiendo a los ejecutivos que colaboren en las prácticas de BC y DR en lugar de trabajar de forma aislada. Esto ha llevado a combinar los dos términos en uno, BCDR, pero el significado esencial de las dos prácticas permanece inalterado.

Independientemente de cómo elija abordar el desarrollo de BCDR en su organización, vale la pena señalar lo rápido que este campo está creciendo en todo el mundo. A medida que los resultados de BCDR incorrectos, como la pérdida de datos y el tiempo de inactividad, se vuelven cada vez más costosos, muchas empresas están aumentando sus inversiones existentes. El año pasado, las empresas de todo el mundo estaban preparadas para gastar 219 mil millones de dólares en ciberseguridad y soluciones, un aumento del 12% respecto al año anterior. según un informe reciente de la Corporación Internacional de Datos (IDC) (el enlace se encuentra fuera de ibm.com).

¿Por qué son importantes los planes de continuidad del negocio y recuperación ante desastres?

Los planes de continuidad del negocio (BCP) y los planes de recuperación ante desastres (DRP) ayudan a las organizaciones a prepararse para una amplia gama de incidentes no planificados. Cuando se implementa de manera efectiva, un buen plan de recuperación ante desastres puede ayudar a las partes interesadas a comprender mejor los riesgos que una amenaza particular puede representar para las funciones comerciales habituales. Las empresas que no invierten en recuperación ante desastres para la continuidad del negocio (BCDR) tienen más probabilidades de experimentar pérdida de datos, tiempo de inactividad, sanciones financieras y daños a la reputación debido a incidentes no planificados.

Estos son algunos de los beneficios que pueden esperar las empresas que invierten en continuidad del negocio y planes de recuperación ante desastres:

• Tiempo de inactividad reducido: Cuando un desastre interrumpe las operaciones comerciales normales, volver a ponerlas en funcionamiento puede costarles cientos de millones de dólares. De alto perfil Ataques ciberneticos son particularmente perjudiciales, ya que con frecuencia atraen atención no deseada y hacen que inversores y clientes huyan hacia competidores que anuncian tiempos de inactividad más cortos. La implementación de un plan BCDR sólido puede acortar el plazo de recuperación, independientemente del tipo de desastre que enfrente.
• Menor riesgo financiero: Según la  El reciente informe de IBM sobre el costo de la filtración de datos, el costo promedio de una filtración de datos fue de USD 4.45 millones en 2023, un aumento del 15 % desde 2020. Las empresas con sólidos planes de continuidad del negocio han demostrado que pueden reducir esos costos significativamente acortando los tiempos de inactividad y aumentando la confianza de los clientes e inversionistas.
• Sanciones reducidas: Las violaciones de datos pueden dar lugar a grandes sanciones cuando se filtra información privada de los clientes. Las empresas que operan en el ámbito de la atención médica y las finanzas personales corren un mayor riesgo debido a la sensibilidad de los datos que manejan. Contar con una sólida estrategia de continuidad del negocio es imperativo para las empresas que operan en estos sectores, lo que ayuda a mantener relativamente bajo el riesgo de fuertes sanciones financieras.

Cómo crear un plan de recuperación ante desastres para la continuidad del negocio

La planificación de la recuperación ante desastres para la continuidad del negocio (BCDR) es más efectiva cuando las empresas adoptan un enfoque separado pero coordinado. Si bien los planes de continuidad del negocio (BCP) y los planes de recuperación ante desastres (DRP) son similares, existen diferencias importantes que hacen que desarrollarlos por separado sea ventajoso:

• Los BCP sólidos se centran en tácticas para mantener las operaciones normales antes, durante e inmediatamente después de un desastre. 
• Los DRP tienden a ser más reactivos y describen formas de responder a un incidente y hacer que todo vuelva a funcionar sin problemas.

Antes de profundizar en cómo se pueden crear BCP y DRP efectivos, veamos un par de términos que son relevantes para ambos:

• Objetivo de tiempo de recuperación (RTO): RTO se refiere a la cantidad de tiempo que lleva restaurar los procesos comerciales después de un incidente no planificado. Establecer un RTO razonable es una de las primeras cosas que las empresas deben hacer cuando crean un BCP o un DRP. 
• Objetivo del punto de recuperación (RPO): El objetivo del punto de recuperación (RPO) de su empresa es la cantidad de datos que puede permitirse perder en un desastre y aun así recuperarse. Dado que la protección de datos es una capacidad central de muchas empresas modernas, algunas copian datos constantemente a un dispositivo remoto. en el centro de datos para garantizar la continuidad en caso de una violación masiva. Otros establecen un RPO tolerable de unos pocos minutos (o incluso horas) para que los datos comerciales se recuperen de un sistema de respaldo y saben que podrán recuperar lo que se haya perdido durante ese tiempo.

Cómo construir un plan de continuidad del negocio (BCP) 

Si bien cada empresa tendrá requisitos ligeramente diferentes cuando se trata de planificar la continuidad del negocio, existen cuatro pasos ampliamente utilizados que producen resultados sólidos independientemente del tamaño o la industria.

1. Ejecute un análisis de impacto empresarial 

El análisis de impacto empresarial (BIA) ayuda a las organizaciones a comprender mejor las diversas amenazas a las que se enfrentan. Una BIA sólida incluye la creación de descripciones sólidas de todas las amenazas potenciales y las vulnerabilidades que puedan exponer. Además, el BIA estima la probabilidad de cada evento para que la organización pueda priorizarlos en consecuencia.

2. Cree respuestas potenciales

Para cada amenaza que identifique en su BIA, deberá desarrollar una respuesta para su negocio. Diferentes amenazas requieren diferentes estrategias, por lo que para cada desastre que pueda enfrentar, es bueno crear un plan detallado sobre cómo podría recuperarse.

3. Asignar roles y responsabilidades

El siguiente paso es determinar qué se requiere de todos los miembros de su equipo de recuperación ante desastres en caso de un desastre. Este paso debe documentar las expectativas y considerar cómo se comunicarán las personas durante un incidente no planificado. Recuerde, muchas amenazas bloquean capacidades de comunicación clave, como las redes celulares y Wi-Fi, por lo que es aconsejable contar con procedimientos de respaldo de comunicación en los que pueda confiar.

4. Ensaya y revisa tu plan.

Para cada amenaza para la que se haya preparado, deberá practicar y perfeccionar constantemente los planes BCDR hasta que funcionen sin problemas. Ensaye un escenario lo más realista posible sin poner a nadie en riesgo real para que los miembros del equipo puedan generar confianza y descubrir cómo es probable que se desempeñen en caso de una interrupción en la continuidad del negocio.

Cómo crear un plan de recuperación ante desastres (DRP)

Al igual que los BCP, los DRP identifican funciones y responsabilidades clave y deben probarse y perfeccionarse constantemente para que sean eficaces. A continuación se presenta un proceso de cuatro pasos ampliamente utilizado para crear DRP.

1. Ejecute un análisis de impacto empresarial

Al igual que su BCP, su DRP comienza con una evaluación cuidadosa de cada amenaza que su empresa podría enfrentar y cuáles podrían ser sus implicaciones. Considere el daño que podría causar cada amenaza potencial y la probabilidad de que interrumpa sus operaciones comerciales diarias. Consideraciones adicionales podrían incluir pérdida de ingresos, tiempo de inactividad, costo de reparación de la reputación (relaciones públicas) y pérdida de clientes e inversores debido a la mala prensa.

2. Haga un inventario de sus activos

Los DRP eficaces requieren que usted sepa exactamente qué posee su empresa. Realice estos inventarios periódicamente para que pueda identificar fácilmente el hardware, el software, la infraestructura de TI y cualquier otra cosa en la que su organización dependa para las funciones comerciales críticas. Puede utilizar las siguientes etiquetas para categorizar cada activo y priorizar su protección: crítica, importante y sin importancia.

• Crítico: Etiquete los activos como críticos si depende de ellos para sus operaciones comerciales normales.
• Importante: Asigne esta etiqueta a cualquier cosa que utilice al menos una vez al día y que, si se interrumpe, afectaría sus operaciones críticas (pero no las cerraría por completo).
• Sin importancia: Estos son los activos que posee su empresa pero que utiliza con poca frecuencia como para que no sean esenciales para las operaciones normales.

3. Asignar roles y responsabilidades

Al igual que en su BCP, deberá describir las responsabilidades y asegurarse de que los miembros de su equipo tengan lo que necesitan para realizarlas. A continuación se detallan algunos roles y responsabilidades ampliamente utilizados a considerar:

• Reportero del incidente: Alguien que mantiene información de contacto de las partes relevantes y se comunica con líderes empresariales y partes interesadas cuando ocurren eventos disruptivos.
• DRP supervisor: Alguien que se asegura de que los miembros del equipo realicen las tareas que se les asignaron durante un incidente. 
• Gestor de activos: Alguien cuyo trabajo es asegurar y proteger activos críticos cuando ocurre un desastre. 

4. Ensaya tu plan

Al igual que con su BCP, necesitará practicar y actualizar constantemente su DRP para que sea efectivo. Practique regularmente y actualice sus documentos de acuerdo con cualquier cambio significativo que deba realizarse. Por ejemplo, si su empresa adquiere un nuevo activo después de que se haya formado su DRP, deberá incorporarlo a su plan en el futuro o no estará protegido cuando ocurra un desastre.

Ejemplos de planes sólidos de continuidad del negocio y recuperación ante desastres

Ya sea que necesite un plan de continuidad del negocio (BCP), un plan de recuperación ante desastres (DRP) o ambos trabajando juntos o por separado, puede ser útil observar cómo otras empresas han implementado planes para mejorar su preparación. A continuación se muestran algunos ejemplos de planes que han ayudado a las empresas con la preparación tanto de BC como de DR.

• Plan de gestión de crisis: Un buen plan de gestión de crisis podría ser parte de la planificación de la continuidad del negocio o de la recuperación ante desastres. Los planes de gestión de crisis son documentos detallados que describen cómo gestionará una amenaza específica. Proporcionan instrucciones detalladas sobre cómo responderá una organización a un tipo específico de crisis, como un corte de energía, un delito cibernético o un desastre natural; específicamente, cómo lidiarán con las presiones hora por hora y minuto por minuto mientras se desarrolla el evento. Muchos de los pasos, roles y responsabilidades requeridos en la planificación de la continuidad del negocio y la recuperación ante desastres son relevantes para buenos planes de gestión de crisis.
• Plan de comunicaciones: Los planes de comunicaciones (o planes de comunicaciones) se aplican igualmente a los esfuerzos de continuidad del negocio y recuperación ante desastres. Describen cómo su organización abordará específicamente las preocupaciones de relaciones públicas durante un incidente no planificado. Para elaborar un buen plan de comunicaciones, los líderes empresariales suelen coordinarse con especialistas en comunicaciones para formular sus planes de comunicaciones. Algunos cuentan con planes específicos para desastres que se consideran probables y graves., para que sepan exactamente cómo responderán.
• Plan de recuperación de red: Los planes de recuperación de red ayudan a las organizaciones a recuperar las interrupciones de los servicios de red, incluido el acceso a Internet, datos móviles, redes de área local (LAN) y redes de área amplia (WAN). Los planes de recuperación de redes suelen tener un alcance amplio, ya que se centran en una necesidad básica y esencial (la comunicación) y deben considerarse más desde el punto de vista de la continuidad del negocio que de la recuperación ante desastres. Dada la importancia de muchos servicios en red para las operaciones comerciales, los planes de recuperación de la red se centran en los pasos necesarios para restaurar los servicios de manera rápida y efectiva después de una interrupción.
• Centro de datos plan de recuperación: Es más probable que se incluya un plan de recuperación del centro de datos en un BCP que en un DRP debido a su enfoque en la seguridad de los datos y las amenazas a la infraestructura de TI. Algunas amenazas comunes a la copia de seguridad de datos incluyen personal sobrecargado, ataques cibernéticos, cortes de energía y dificultades para cumplir con los requisitos de cumplimiento. 
• Plan de recuperación virtualizado: Al igual que un plan de centro de datos, es más probable que un plan de recuperación virtualizado forme parte de un BCP que de un DRP debido al enfoque de un BCP en TI y recursos de datos. Los planes de recuperación virtualizados se basan en máquina virtual (MV) instancias que pueden entrar en funcionamiento a los pocos minutos de una interrupción. Las máquinas virtuales son representaciones/emulaciones de computadoras físicas que brindan recuperación de aplicaciones críticas a través de alta disponibilidad (HA), o la capacidad de un sistema para operar continuamente sin fallar.

Soluciones de continuidad de negocio y recuperación ante desastres 

Incluso una interrupción menor puede poner en riesgo su negocio. IBM tiene una amplia gama de planes de contingencia y soluciones de recuperación ante desastres para ayudar a preparar su negocio para enfrentar una variedad de amenazas, incluidas capacidades de respaldo en la nube y recuperación ante desastres y servicios de seguridad y resiliencia.

Proteja los datos y acelere la recuperación con las soluciones de planificación de continuidad del negocio de IBM