¿Qué es la continuidad del negocio? todo lo que necesita saber

La continuidad del negocio reúne a personas y tecnología para ayudar a las organizaciones a prepararse y superar las interrupciones de las operaciones normales. La planificación de la continuidad del negocio abarca la recuperación en caso de catástrofe -el restablecimiento de los servicios informáticos tras una interrupción inesperada-, pero su finalidad es más amplia. El objetivo de una estrategia de continuidad del negocio es mantener la empresa en funcionamiento, independientemente de que las operaciones se vean afectadas por una catástrofe imprevista, como un terremoto, o por un acontecimiento planificado, como la aplicación de un parche importante en la infraestructura.

¿Qué es la continuidad del negocio?

Los líderes empresariales utilizan la continuidad empresarial como paradigma para mantener las operaciones, aunque sea en una capacidad temporalmente limitada, en caso de interrupciones inesperadas o planificadas de los procesos empresariales normales. Estas interrupciones pueden incluir catástrofes naturales, ciberataques, conflictos armados u otras causas de fuerza mayor, pandemias mundiales, cortes de electricidad debidos a tormentas o inundaciones, fallas de infraestructura, actividades de mantenimiento planificadas e incluso la salida inesperada de un empleado clave. Las tecnologías de computación en la nube, como la contenedorización y la virtualización, pueden ayudar a que las medidas de continuidad del negocio sean más asequibles para empresas de todos los tamaños.

Conclusiones clave

• La continuidad del negocio implica desarrollar procesos con antelación para mantener la disponibilidad durante interrupciones inesperadas o planificadas de las operaciones normales.
• La planificación de la continuidad del negocio es una metodología para garantizar que una empresa dispone de los procesos necesarios para mantener las funciones esenciales.
• Implica reunir un equipo, evaluar los riesgos, identificar las operaciones prioritarias y garantizar la existencia de un plan de recuperación de desastres que pueda volver a poner en línea la infraestructura informática y los datos críticos en el momento oportuno.
• La continuidad del negocio no es una propuesta única. El plan tiene que practicarse y ponerse a prueba con regularidad para que las personas se familiaricen con sus responsabilidades y puedan identificarse y cerrarse las brechas del plan.
• Una nueva generación de computación en la nube, la contenedorización en particular, ha hecho que la continuidad del negocio y la recuperación ante desastres sean más eficientes y rentables que incluso hace 10 años.

Explicación de la continuidad del negocio

Las empresas suelen adoptar estrategias para frustrar las amenazas existenciales, como los competidores establecidos, los nuevos participantes en el mercado, los cambios repentinos en el comportamiento o los gustos de los clientes y el cambio tecnológico.

Sin embargo, otra amenaza más difícil de planificar es un acontecimiento inesperado, normalmente temporal, que dificulte o imposibilite que la empresa siga funcionando como de costumbre. Los fenómenos naturales, como los huracanes y las olas de calor prolongadas, pueden provocar una pérdida de la energía eléctrica utilizada para hacer funcionar las instalaciones o los servicios de TI esenciales. Las entidades delictivas o los estados-nación pueden interrumpir las operaciones de TI o pedir un rescate por los datos. Otros tipos de acontecimientos, como la muerte inesperada o la salida de personal clave, las interrupciones de la cadena de suministro debidas a guerras o huelgas laborales, y los boicots de los consumidores, son igualmente difíciles de planificar.

Por ello, las empresas de éxito elaboran planes de continuidad del negocio para disponer de un modelo de cómo deben reaccionar los directivos y otros empleados en caso de que se produzcan tales acontecimientos.

Por otro lado, aquellas que no tienen planes de continuidad del negocio se enfrentan a un peligro significativo. Incluso teniendo en cuenta variables como el sector, el tamaño de la empresa y el tipo de negocio, solo el tiempo de inactividad de la presencia en línea de una organización puede costarle entre 2.300 y 9.000 dólares por minuto, y eso sin tener en cuenta el costo del daño a su reputación y a sus relaciones comerciales.

¿Por qué es importante la continuidad del negocio para las empresas?

La mayoría de las empresas pueden soportar la ralentización o interrupción de sus actividades durante un breve periodo de tiempo, aunque los bancos, las empresas de servicios públicos, los proveedores de atención médica y las empresas de otros sectores no pueden permitirse este lujo y deben cumplir los requisitos legales y asegurarse de que pueden reanudar sus operaciones normales casi inmediatamente después de una interrupción.

En la mayoría de los casos, independientemente de los requisitos normativos, no pueden permitirse una interrupción prolongada de sus actividades, porque incluso los clientes más pacientes acabarán encontrando proveedores alternativos. De hecho, la interrupción prolongada de las actividades de un competidor puede suponer una oportunidad para que otras empresas del sector ganen cuota de mercado.

Al planificar la continuidad del negocio, las organizaciones también deben tener en cuenta a los asociados, proveedores y cadenas de suministro sensibles, donde las interrupciones podrían tener efectos irreparables en cascada.

¿Qué incluye la continuidad del negocio?

En sus términos más sencillos, la continuidad del negocio es la idea de que una organización continuará sus operaciones a pesar de catástrofes, sucesos, actos nefastos u otras calamidades que interrumpan temporalmente el curso ordinario de los negocios. Incluye lo siguiente:

• Evaluar funciones como producción, atención al cliente, ventas y marketing y clasificarlas por orden de prioridad. En caso de emergencia, es posible que tu organización no pueda poner en marcha todas sus funciones inmediatamente, por lo que saber cuáles son las más importantes es crucial para sobrevivir a los primeros minutos, horas y días.
• Evaluar a los proveedores y proveedores de servicios clave por su adaptabilidad y flexibilidad. Asegurarse de que tienen sus propios planes de continuidad del negocio y, en el caso de los proveedores de TI, de que disponen de redundancia, replicación de datos y otros procesos de recuperación en caso de catástrofe para garantizar que tu empresa no sufrirá interrupciones en sus operaciones.
• Garantizar que la empresa cumple las normas locales, nacionales e internacionales pertinentes; esto es más importante en los sectores financiero, de atención médica y de servicios públicos.

¿Qué incluye un plan de continuidad del negocio (BCP)?

En su forma más básica, un plan de continuidad del negocio (BCP) es el simple reconocimiento por parte de los directivos de que inevitablemente se producirán acontecimientos disruptivos imprevistos, a menudo fuera del control de la organización, y que deben tomar medidas para garantizar que la empresa pueda seguir haciendo negocios, aunque sea de forma limitada durante un breve periodo de tiempo.

Un BCP debe incluir el plan de recuperación ante desastres (RD), que, como su nombre indica, es un marco para recuperar los sistemas y, lo que es más importante, los datos tras una interrupción inesperada. Entre los sucesos que pueden provocar una interrupción de este tipo se incluyen los huracanes o tornados que dejan sin electricidad o imposibilitan el desplazamiento a las oficinas corporativas, los conflictos armados que interrumpen las cadenas de suministro, los ciberataques que inutilizan los sistemas y las pandemias globales que obligan a las personas a trabajar de forma remota. Pero la causa más común de desastre es el error humano, como que un empleado caiga involuntariamente en una estafa de phishing o que un administrador de bases de datos no se ponga a aplicar un parche de software hasta después de que el sistema esté en peligro.

Y aunque es cierto que los acontecimientos futuros son imposibles de predecir, no prepararse para ellos sería temerario, y contrario a las leyes y normativas que rigen muchos sectores. Como Dwight D. Eisenhower, ex presidente de EEUU y comandante supremo aliado en Europa durante la II Guerra Mundial, señaló: «Los planes no valen nada, pero la planificación lo es todo».

En otras palabras, los acontecimientos inesperados pueden hacer que los detalles de muchos planes sean irrelevantes o anacrónicos, pero el propio proceso de planificación ayuda a preparar a una organización para lo que pueda venir después. Eisenhower también comentó sobre la planificación: "Si no has estado planeando, no puedes empezar a trabajar, al menos inteligentemente."

Aún así, la recuperación ante desastres es integral, pero no el único componente clave de un plan de continuidad del negocio efectivo. Un plan de continuidad del negocio completo debe incluir los siguientes elementos:

• Análisis de impacto en el negocio. Determina qué funciones y procesos son esenciales para la supervivencia de la organización, y comprende el impacto que tendrían si se interrumpieran. Este análisis debe ser continuo, pero es especialmente importante cuando la empresa se expande a nuevos mercados de productos o zonas geográficas y cuando añade tecnologías básicas, como un nuevo centro de datos o una nueva infraestructura en la nube. Por ejemplo, una empresa con operaciones clave en zonas azotadas frecuentemente por tormentas tropicales debería plantearse construir o alquilar instalaciones en zonas fuera de la trayectoria típica de una tormenta.
• Plan de comunicaciones. Establecer canales de comunicación claros para que las partes interesadas internas y externas proporcionen información oportuna y precisa durante una crisis.
• Bienestar y la seguridad de los empleados. Planificar las capacidades de trabajo a distancia, y da prioridad a la salud y la seguridad de los empleados y sus familias por encima de otras consideraciones.
• Evaluación y gestión de riesgos. Evaluar cómo podrían reaccionar los principales clientes, proveedores u otros asociados de los que depende la empresa ante interrupciones repentinas de la actividad, cómo podrían verse afectadas las cadenas de suministro, qué problemas legales podrían surgir y qué exposición tiene la organización a catástrofes naturales y otras interrupciones.
• Resiliencia de la cadena de suministro. Desarrollar estrategias para gestionar el riesgo de la cadena de suministro, incluida la diversificación de proveedores y opciones de abastecimiento siempre que sea posible. Considerar un escenario en el que la empresa tiene que reubicarse en una o más ubicaciones secundarias.
• Capacitación y sensibilización. Entrenar regularmente a los empleados sobre sus funciones en caso de catástrofe u otra interrupción importante de la actividad, para que se sientan cómodos con los procedimientos y protocolos que deben seguir.

Desarrollo de un plan de continuidad del negocio

La planificación de la continuidad del negocio es esencial para la supervivencia de una organización en caso de catástrofe natural u otra interrupción del curso normal de las actividades. De hecho, alrededor del 25 % de las empresas no vuelven a abrir tras una catástrofe, según la Agencia Federal de Gestión de Emergencias de EE. UU. Las mismas deben realizar los siguientes pasos para crear un plan de continuidad del negocio eficaz:

1. Identificar a un gestor de la continuidad del negocio (BCM) y dejar claro que dicho profesional cuenta con el pleno apoyo de los altos dirigentes. En las grandes empresas, este gestor a menudo se reporta al director financiero.
2. Debe reunir un equipo que represente las funciones empresariales clave, como fabricación, ventas, atención al cliente, TI, operaciones, recursos humanos y marketing.
3. A continuación, este equipo trabaja para identificar las áreas de la empresa que son fundamentales para las operaciones en curso, como TI, infraestructura de telecomunicaciones, gestión de edificios, gestión de proveedores y nóminas, así como los clientes que generan cantidades significativas de ingresos. Normalmente, las empresas vinculan sus planes de continuidad a dos métricas: un objetivo de tiempo de recuperación (RTO) y un objetivo de punto de recuperación (RPO). El RTO es el tiempo máximo que se debe tomar para volver a poner en línea los sistemas de TI. El RPO es la cantidad de datos que la empresa puede permitirse perder antes de que se dañe más allá de los límites aceptables determinados.
4. Crear una lista de partes interesadas clave, incluida su información de contacto completa y áreas de responsabilidad. El gestor de continuidad del negocio debe garantizar que se pueda acceder fácilmente a las copias físicas de la lista en una serie de locales específicos. En otras palabras, no dar por sentado que las versiones digitales de la lista estarán disponibles durante una interrupción.
5. Determinar qué áreas de negocio tienen prioridad en caso de interrupción y si las implementaciones actuales permiten la recuperación dentro del plazo de RTO establecido. ¿Una unidad de negocio o un equipo de línea de negocio necesita una simple copia de seguridad, replicación de datos en un sitio secundario o protección y recuperación de datos en tiempo real? Por ejemplo, si se determina que la empresa no puede tolerar la pérdida de un sitio de comercio electrónico durante más de una hora, pero la implementación actual de ese sitio requeriría un tiempo de recuperación de cuatro horas, es posible que el departamento de TI tenga que volver a diseñar el sitio o buscar un nuevo proveedor. Además, se debe reconocer qué riesgos se está dispuesto a aceptar porque cubrirlos sería demasiado caro, o compensarlos de alguna otra forma, por ejemplo adquiriendo una póliza de seguros.
6. Crear planes de comunicaciones para la empresa en su conjunto y para cada área funcional. Asegurarse de que las partes interesadas clave estén al tanto de estos planes y puedan acceder a ellos en caso de una interrupción.
7. Identificar las ubicaciones que podrían utilizarse como lugares de trabajo temporales si las oficinas principales son inaccesibles durante largos periodos de tiempo. Planificar que los datos y las aplicaciones esenciales estén disponibles lo antes posible en dichos locales.
8. Investigar a los principales proveedores y prestadores de servicios para verificar si disponen de sus propios planes de continuidad del negocio que protejan a la empresa en caso de que sufran una interrupción importante.
9. Practicar el plan guiando a todas las partes interesadas por los pasos que deben darse en caso de interrupción. Configurar un programa para probar estos planes al menos una vez al año a fin de identificar y controlar los cambios entre proveedores, personal o instalaciones.

Por último, los expertos aconsejan automatizar al máximo las operaciones de recuperación, permitiendo que los interesados y los colaboradores se centren en el plan general de continuidad del negocio. Un ejemplo es el uso de sistemas de conmutación por error que cambian automáticamente a servidores o redes de copia de seguridad si fallan los principales. La automatización aumenta las posibilidades de un resultado positivo y predecible.

Prueba de un Plan de Continuidad de Negocio

Los planes de continuidad del negocio son tan buenos como los hábitos de las personas que los utilizan. Aunque predecir una catástrofe real es casi imposible, es totalmente posible simular un acontecimiento disruptivo para que el personal pueda practicar las acciones que probablemente tendrán que desempeñar. Antes de que se pueda realizar cualquier prueba, las partes interesadas deben haber visto y asimilado el plan de continuidad del negocio.

Las pruebas deben evaluar los elementos clave del plan, como los tiempos de reacción ante cortes de electricidad y fallas de TI, la viabilidad de los sistemas de comunicación internos y externos, y los procedimientos de alerta y activación del personal clave.

Las pruebas no solo familiarizan a las personas con sus responsabilidades en caso de interrupción, sino que también ayudan a identificar brechas o defectos del plan para que puedan abordarse antes de una emergencia real.

Entre las mejores prácticas para este tipo de pruebas se incluyen las siguientes:

• Pruebas de simulación. Consiste en reunir a los principales interesados en una sala de conferencias física o virtual, describirles un suceso disruptivo y pedirles que enumeren las medidas que tomarían de acuerdo con el plan que ya habrán leído.
• Recorrido de inspección. También conocido como prueba de recuperación simulada, es una versión más completa de la prueba de simulación. En él, los colaboradores recorren físicamente los pasos que tomarían en caso de una interrupción. Por ejemplo, el personal de gestión de instalaciones demostraría cómo verificar si los generadores de reserva funcionan, y si alguien de TI utilizaría el documento de información de contacto para comunicarse con el centro de datos o proveedor de servicios en la nube.
• Servicios de pruebas de terceros. Los proveedores externos verifican lo preparados que están el personal y los principales interesados de la organización para reaccionar ante interrupciones simuladas, inclusive demandas de ransomware y otros actos nefastos. Las empresas especializadas en ciberseguridad pueden poner a prueba a los colaboradores para asegurarse de que no caen en la suplantación de identidad u otros trucos psicológicos que pueden provocar brechas en los sistemas informáticos.

Los gestores de continuidad del negocio deben realizar pruebas al menos una vez al año y establecer un formato para que las partes interesadas compartan y analicen los resultados.

Estándares de continuidad del negocio

Los planes de continuidad del negocio en determinados sectores -sobre todo los servicios financieros, los servicios públicos y de atención médica- están sujetos a normas locales, nacionales y/o internacionales. De hecho, se aplican más de 120 normas de gestión de la continuidad empresarial a diversos sectores, según DRI International, una consultora sin ánimo de lucro especializada en recuperación tras catástrofes. Entre ellas se encuentran las normativas de la Comisión de Seguridad e Intercambio, la Autoridad Reguladora de la Industria Financiera y la ley Sarbanes-Oxley en Estados Unidos, así como el marco normativo internacional BASEL III para bancos y la norma ISO 22301 de la Organización Internacional de Normalización.

Otras normas de continuidad del negocio son las SP 800-34 y 24762 del Instituto Nacional de Normas y Tecnología y la norma NFPA 1600 de la Asociación Nacional de Protección contra Incendios de EE.UU. para la gestión de la continuidad, emergencias y crisis. Entre las normativas más generales sobre continuidad del negocio se incluye el Reglamento General de Protección de Datos de la Unión Europea, que, dado que regula el almacenamiento y la difusión de datos, también es relevante en este ámbito.

Continuidad del negocio y recuperación ante desastres

La continuidad del negocio y la recuperación ante desastres están estrechamente relacionadas. Ambos son planes organizativos para sobrevivir y recuperarse rápidamente de una interrupción potencialmente catastrófica de las actividades, y ambos están también estrechamente relacionados con TI, dada la dependencia de las empresas de la infraestructura y las aplicaciones informáticas.

Por citar solo un ejemplo de lo dependientes que se han vuelto todas las empresas de las TI, la mayoría de los recintos deportivos profesionales de Estados Unidos ya no aceptan pagos en efectivo, lo que significa que los sistemas informatizados de punto de venta tienen que estar operativos para que puedan vender comida, bebidas, equipos y otros artículos.

Continuidad del negocio frente a recuperación ante desastres

La ISO 22301 define la continuidad del negocio como «procedimientos documentados que guían a las organizaciones para responder, recuperar, reanudar y restablecer un nivel predefinido de operaciones tras una interrupción.» La recuperación ante desastres es un subconjunto de la continuidad del negocio que implica la restauración de los servicios de TI, incrementalmente si es necesario. Una forma clave en que la continuidad del negocio difiere de la recuperación ante desastres es que la primera tiene en cuenta todas las interrupciones de la empresa, incluidas las planificadas.

Tecnología y continuidad del negocio

La continuidad del negocio depende de una amplia variedad de factores, como el sector en el que opera una organización y la naturaleza de la disrupción en sí. Pero en la era de la información, depende de algún nivel de funcionalidad de TI. Por tanto, es crucial que las empresas se aseguren de que disponen de los niveles adecuados de infraestructura redundante y replicación de datos, no sólo para respaldar el curso ordinario de los negocios, sino también para garantizar que la empresa pueda funcionar con suficiente eficacia durante un acontecimiento disruptivo.

Cuanto más cortos sean los RTO y los RPO, mejor será la continuidad. Sin embargo, el costo de lograr cualquier RTO o RPO aumenta a medida que cada objetivo se acorta. Las opciones de arquitectura pueden ayudar. Los líderes empresariales deben considerar el uso de la computación en la nube y, de manera ideal, los contenedores para aislar aún más los datos críticos de los sistemas que se han interrumpido. También deben buscar proveedores de servicios en la nube con instalaciones de failover geográficamente dispares.

Una de las ventajas de la computación en nube desde el punto de vista de la continuidad empresarial es lo que se denomina «implementaciones piloto», en las que los sitios secundarios o las copias de las cargas de trabajo corporativas pueden ser tan pequeños como una sola máquina virtual (VM) o contenedor. En caso de conmutación por error, esa única máquina virtual o contenedor puede, si es necesario, poner en marcha un proceso automatizado que permita a la organización poner en marcha el resto de la infraestructura. Y al utilizar una implementación piloto, las organizaciones solo tienen que pagar por ese único recurso, en lugar de replicar todo un sistema.

Otra estrategia es la llamada arquitectura «azul-verde», en la que, en lugar de tener de cuatro a seis entornos redundantes para el desarrollo y las pruebas y otro distinto para la implementación en producción, una organización implementa solo dos entornos redundantes y distribuidos. Digamos que el entorno "azul" es la producción y el "verde" es el desarrollo y las pruebas. Cuando finaliza el desarrollo, el entorno «verde» se convierte en el entorno de producción principal, y el entorno «azul» se utiliza para el desarrollo, las pruebas y la recuperación ante desastres. Este ciclo se repite.

Simplifica tu estrategia de continuidad del negocio con Oracle Cloud Infrastructure

Oracle simplifica y hace más rentable el desarrollo de un plan integral de continuidad de negocio. Dado que Oracle Cloud Infrastructure (OCI) se desarrolló más tarde que otras nubes de hiperescala, se hizo para ofrecer mayor eficacia y confiabilidad, menor latencia y flexibilidad superior en comparación con las nubes de la competencia. Además de los contenedores, OCI dispone de máquinas virtuales flexibles, lo que significa que las empresas pueden adquirir solo la cantidad de potencia informática que necesiten. Otros proveedores ofrecen menos flexibilidad, lo que obliga a los clientes a sobreaprovisionar sus instancias y les cuesta más dinero. OCI cuenta con diversas regiones de nube separadas geográficamente en muchos países, lo que permite a los clientes seguir cumpliendo la normativa sobre soberanía de datos y, al mismo tiempo, disponer de ubicaciones dispares a efectos de continuidad empresarial.

Basándose en décadas de experiencia en desarrollo y en los comentarios de los clientes del mundo real, Oracle ha desarrollado unas prácticas recomendadas denominadas Arquitectura de Máxima Disponibilidad de Oracle (MAA). Oracle MAA proporciona el plan para implementar soluciones de alta disponibilidad, escalabilidad, recuperación ante desastres y protección de datos en entornos de Oracle Database.

Las mejores prácticas de Oracle MAA, mantenidas por un equipo de desarrolladores de Oracle, validan continuamente el uso integrado de las funciones de Alta Disponibilidad de Oracle Database, como Oracle Real Application Clusters y Oracle Data Guard, mediante técnicas de ingeniería del caos y otras metodologías de prueba.

Oracle MAA se amplía aún más con el servicio Oracle Cloud Infrastructure Full Stack Disaster Recovery. OCI Full Stack DisasterR ecovery organiza la transición de recursos informáticos, bases de datos y aplicaciones entre regiones de OCI de todo el mundo con un solo clic. Los clientes pueden automatizar las acciones necesarias para recuperar uno o más sistemas de negocio sin rediseñar ni reorganizar la infraestructura, las bases de datos o las aplicaciones existentes, y sin necesidad de servidores especializados para la conversión o la gestión.

Además, Oracle Autonomous Database y Oracle Exadata Database Service tienen redundancia incorporada, lo que significa que los clientes no pagan más por la replicación de datos dentro de la misma zona de disponibilidad.

Las expectativas de continuidad del negocio han cambiado a medida que ha evolucionado el panorama tecnológico. Por ejemplo, la mayoría de las empresas solían pensar en los RTO en términos de las llamadas aplicaciones de nivel 1, pero las opciones de computación en nube menos caras, como los pilotos, significan que pueden permitirse crear planes de continuidad de negocio para todas sus aplicaciones.

Preguntas frecuentes sobre la continuidad del negocio

¿Cuáles son los 4 pilares de la continuidad del negocio?

En su forma más básica, consiste en reunir un equipo centrado en evaluar qué áreas de la empresa corren más riesgo durante un acontecimiento disruptivo, crear un plan para mantener las operaciones a niveles mínimamente viables y, a continuación, ensayar y probar ese plan periódicamente.

¿Cuál es la diferencia entre la continuidad del negocio y la recuperación ante desastres?

La continuidad del negocio es un enfoque organizativo para que una organización pueda seguir funcionando de algún modo a pesar de cualquier interrupción, planificada o no, mientras que la recuperación de desastres se centra en volver a poner en marcha los sistemas de TI.

¿Por qué es importante tener un plan de continuidad del negocio?

Las organizaciones que no tienen planes de continuidad de negocio actualizados están en mayor riesgo que las que sí lo tienen. En el peor de los casos, pueden quebrar permanentemente debido a una importante interrupción inesperada de las operaciones normales, que lleve a los clientes a la competencia, haga perder datos y resulte costosa de solucionar.