¿Qué es la continuidad de negocio? todo lo que necesita saber

La continuidad de negocio reúne a personas y tecnología para ayudar a las organizaciones a prepararse y superar las interrupciones que puedan afectar al curso normal del negocio. La planificación de la continuidad de negocio incluye la función de recuperación ante desastres, esto es, la restauración de los servicios de TI después de una interrupción inesperada, pero su propósito es más amplio. El objetivo de una estrategia de continuidad de negocio es mantener a la empresa en funcionamiento independientemente de si las operaciones se ven afectadas por una catástrofe no planificada, como un terremoto o un evento planificado, como la aplicación de un parche de infraestructura importante.

¿Qué es la continuidad de negocio?

Los líderes empresariales utilizan la continuidad de negocio como paradigma para mantener las operaciones, incluso si su capacidad se ve temporalmente limitada, en caso de interrupciones inesperadas o planificadas de los procesos normales de la organización. Estas interrupciones pueden incluir desastres naturales, ciberataques, conflictos armados u otras causas de fuerza mayor, pandemias globales, cortes de energía debido a tormentas o inundaciones, fallos de infraestructura, actividades de mantenimiento planificadas e incluso la salida inesperada de un empleado clave. Las tecnologías de computación en la nube, como la containerización y la virtualización, pueden ayudar a que las medidas de continuidad de negocio sean más asequibles para empresas de todos los tamaños.

Conclusiones clave

• La continuidad de negocio implica el desarrollo de procesos con antelación para mantener la disponibilidad durante interrupciones inesperadas o planificadas de las operaciones normales.
• La planificación de la continuidad de negocio es una metodología para garantizar que una empresa tenga los procesos establecidos para mantener en marcha las funciones básicas.
• La planificación de la continuidad de negocio implica reunir un equipo, evaluar los riesgos, identificar las operaciones prioritarias y garantizar que se disponga de un plan de recuperación ante desastres que pueda poner en línea la infraestructura y los datos críticos de TI de manera oportuna.
• La continuidad de negocio no es una propuesta única. El plan se debe practicar y comprobar con regularidad para que las personas estén familiarizadas con sus responsabilidades y las deficiencias en el plan puedan ser identificadas y solucionadas.
• Una nueva generación de computación en la nube, en particular la contenedorización, ha hecho que la continuidad de negocio y la recuperación ante desastres sean más eficientes y rentables que hace 10 años.

Explicación de continuidad de negocio

Las empresas suelen adoptar estrategias para frustrar amenazas existenciales, como los competidores consolidados, los nuevos participantes del mercado, los cambios repentinos en el comportamiento o los gustos de los clientes y el cambio tecnológico.

Sin embargo, otra amenaza que es más difícil de planificar es un evento inesperado, generalmente temporal, que hace que sea difícil o imposible para el negocio continuar operando como de costumbre. Eventos naturales como huracanes y olas de calor prolongadas pueden provocar la pérdida de la energía eléctrica que se utiliza para operar instalaciones o servicios fundamentales de TI. Los estados nación y las organizaciones criminales pueden interrumpir las operaciones de TI o retener datos a cambio de un rescate. Otros tipos de eventos, como defunciones inesperadas o la salida de personal clave, las interrupciones de la cadena de suministro debido a conflictos bélicos o las huelgas laborales, y los boicots de los consumidores, son igualmente difíciles de planificar.

Por lo tanto, las empresas exitosas desarrollan planes de continuidad de negocio para proporcionar un modelo para que los gerentes y otros empleados sepan cómo deben reaccionar en caso de que ocurran eventos extraordinarios.

Por otro lado, las empresas que no tienen planes de continuidad de negocio se enfrentan a un peligro significativo. Incluso teniendo en cuenta variables como el sector, el tamaño de la empresa y el tipo de negocio, solo el tiempo de inactividad de la presencia en línea de una organización puede costarle entre 2300 y 9000 dólares por minuto, y eso sin tener en cuenta el costo del daño a su reputación y sus relaciones comerciales.

¿Por qué es importante la continuidad de negocio para las empresas?

La mayoría de las empresas pueden resistir la desaceleración o la interrupción de sus actividades comerciales por un corto periodo de tiempo, aunque los bancos, los servicios públicos, los proveedores de atención médica y las empresas de otras industrias no pueden darse este lujo y deben cumplir con los requisitos legales y asegurarse de que puedan reanudar las operaciones normales casi inmediatamente después de una interrupción.

En la mayoría de los casos, independientemente de los requisitos normativos, las empresas no pueden permitirse una interrupción prolongada de sus actividades porque incluso los clientes más pacientes al final encontrarán proveedores alternativos. De hecho, si un competidor sufre un caso prolongado de tiempo de inactividad, otros en el sector pueden aprovechar la oportunidad para ganar cuota de mercado.

Al planificar la continuidad de negocio, las organizaciones también deben considerar socios, proveedores y cadenas de suministro sensibles, donde las interrupciones podrían tener efectos en cascada irreparables.

¿Qué incluye la continuidad de negocio?

En sus términos más simples, la continuidad de negocio es la idea de que una organización continuará operando a pesar de desastres, eventos, actos nefastos u otras calamidades que interrumpen temporalmente el curso ordinario del negocio. Incluye lo siguiente:

• Evaluar funciones como producción, servicio al cliente, ventas y marketing y clasificarlas por orden de prioridad. En una emergencia, es posible que tu organización no pueda poner en marcha todas sus funciones de inmediato, de modo que saber cuáles son las más importantes para su éxito resulta crucial para sobrevivir durante los primeros minutos, horas y días.
• Evaluar a los proveedores y proveedores de servicios clave por su adaptabilidad y flexibilidad. Asegúrate de que tienen sus propios planes de continuidad de negocio y, en el caso de los proveedores de TI, de que tienen redundancia, replicación de datos y otros procesos de recuperación ante desastres para garantizar que tu negocio no sufra interrupciones en sus operaciones.
• Garantizar que el negocio cumpla con los estándares locales, nacionales e internacionales pertinentes es más importante en los sectores de finanzas, salud y servicios públicos.

¿Qué incluye un plan de continuidad de negocio (BCP)?

Básicamente, un plan de continuidad de negocio (BCP) es el simple reconocimiento por parte de la dirección de la empresa de que inevitablemente ocurrirán eventos disruptivos imprevistos, a menudo que escapan al control de la organización, y que deben tomar medidas para garantizar que la empresa pueda continuar haciendo negocios, incluso si tiene una capacidad limitada por un corto periodo de tiempo.

Un plan de continuidad de negocio debe incluir el plan de recuperación ante desastres (DR), que, como su nombre indica, es un marco para la recuperación de sistemas y, más importante aún, de datos después de una interrupción inesperada. Entre estos eventos que pueden causar este tipo de interrupciones, se incluyen huracanes o tornados que impiden el acceso a las oficinas corporativas, conflictos armados que interrumpen las cadenas de suministro, ciberataques que dejan inoperable los sistemas y pandemias globales que obligan a las personas a trabajar desde casa. Pero la causa más común del desastre es el error humano, como un empleado que involuntariamente cae en una estafa de phishing o un administrador de base de datos que no procede a aplicar un parche de software hasta después de que el sistema se vea comprometido.

Y aunque es cierto que los eventos futuros son imposibles de predecir, no prepararse para ellos resultaría temerario —y contra las leyes y regulaciones que rigen muchas industrias. Como Dwight D. Eisenhower, ex presidente de Estados Unidos y comandante supremo aliado en Europa durante la Segunda Guerra Mundial, señaló: "Los planes no valen nada; la planificación lo es todo".

En otras palabras, los eventos inesperados pueden hacer que los detalles de muchos planes resulten irrelevantes o anacrónicos, pero el mismo proceso de planificación ayuda a preparar a una organización para lo que venga después. Eisenhower también dijo de la planificación: "Si no has planificado, no puedes empezar a trabajar; al menos no inteligentemente".

Aun así, la recuperación ante desastres es un concepto global, pero no el único componente clave de un plan de continuidad de negocio eficaz. Un plan de continuidad de negocio completo debe incluir los siguientes elementos:

• Análisis de impacto en el negocio. Determina qué funciones y procesos son fundamentales para la supervivencia de la organización y comprende el impacto si se interrumpieran. Este análisis debe ser continuo, pero es especialmente importante cuando el negocio se expande a nuevos mercados de productos o áreas geográficas y cuando agrega tecnologías básicas como un nuevo centro de datos o una nueva infraestructura en la nube. Por ejemplo, un negocio con operaciones clave en áreas golpeadas con frecuencia por tormentas tropicales debe considerar la construcción o el arrendamiento de instalaciones en áreas fuera del camino típico de una tormenta.
• Plan de comunicaciones. Establece canales de comunicación claros para que las partes interesadas internas y externas proporcionen información oportuna y precisa durante una crisis.
• El bienestar y la seguridad de los empleados. Planifica las capacidades de trabajo remoto y prioriza la salud y la seguridad de los empleados y sus familias por encima de otras consideraciones.
• Evaluación y gestión de riesgos. Evalúa cómo los clientes clave, proveedores u otros socios de los que depende la empresa podrían reaccionar ante interrupciones repentinas del negocio, cómo podrían verse afectadas las cadenas de suministro, qué problemas legales podrían surgir y qué exposición tiene la organización ante desastres naturales y otras interrupciones.
• Resiliencia de la cadena de suministro. Desarrolla estrategias para gestionar el riesgo de la cadena de suministro, incluida la diversificación de proveedores y opciones de abastecimiento siempre que sea posible. Considera un escenario en el que la empresa tenga que reubicarse en una o más ubicaciones secundarias.
• Capacitación y sensibilización. Brinda formación periódica a tus empleados en sus funciones en caso de un desastre u otra interrupción importante del negocio para que se sientan cómodos con los procedimientos y protocolos que deben seguir.

Creación de un plan de continuidad de negocio

La planificación de la continuidad de negocio es esencial para la supervivencia de una organización en caso de un desastre natural u otra interrupción del curso normal del negocio. De hecho, alrededor del 25 % de las empresas no retoman sus operaciones después de sufrir un desastre, según la Agencia Federal para el Manejo de Emergencias de EE. UU. Las empresas deben realizar los siguientes pasos para crear un plan de continuidad de negocio eficaz:

1. Identifica un gerente de continuidad de negocio (BCM) y deja en claro que este cuenta con el pleno apoyo de la alta dirección. En las grandes empresas, el BCM a menudo depende del director financiero.
2. El BCM debe reunir un equipo que represente las funciones empresariales clave, como fabricación, ventas, servicio al cliente, TI, operaciones, recursos humanos y marketing.
3. Este equipo trabaja para identificar áreas de negocio que resultan fundamentales para las operaciones en curso, como TI, infraestructura de telecomunicaciones, gestión de edificios, gestión de proveedores y nómina, así como clientes que generan cantidades significativas de ingresos. Normalmente, las empresas vinculan sus planes de continuidad a dos métricas: un objetivo de tiempo de recuperación (RTO) y un objetivo de punto de recuperación (RPO). El RTO es el tiempo máximo que se puede dedicar para volver a poner en línea los sistemas de TI críticos. El RPO es la cantidad de datos que la empresa puede permitirse perder antes de que se dañe más allá de los límites aceptables determinados.
4. Crea una lista de partes interesadas clave, incluyendo su información de contacto completa y áreas de responsabilidad. El BCM debe garantizar que se pueda acceder fácilmente a las copias físicas de la lista en diversas ubicaciones especificadas. En otras palabras, no asumas que las versiones digitales de la lista, o cualquier otro elemento, estarán disponibles durante una interrupción.
5. Determina qué áreas de negocio tienen prioridad en caso de una interrupción y si los despliegues actuales permiten la recuperación dentro del marco temporal de RTO establecido. ¿Necesita una unidad de negocio o un equipo de línea de negocio disponer de una copia de seguridad sencilla, replicación de datos en un sitio secundario o protección y recuperación de datos en tiempo real? Por ejemplo, si se determina que la empresa no puede tolerar la pérdida de un sitio de comercio electrónico durante más de una hora, pero el despliegue actual de ese sitio requeriría un tiempo de recuperación de cuatro horas, es posible que el departamento de TI deba volver a diseñar el sitio o encontrar un nuevo proveedor. Además, reconoce los riesgos que la empresa está dispuesta a aceptar porque obviarlos sería demasiado costoso, y compénsalos de otra manera, como contratar una póliza de seguro.
6. Crea planes de comunicaciones para el negocio en su conjunto y para cada área funcional. Asegúrate de que las partes interesadas clave estén al tanto de estos planes y puedan acceder a ellos en caso de interrupción.
7. Identifica las ubicaciones, incluidas las oficinas de origen, que podrían utilizarse como lugares de trabajo temporales si las oficinas principales están inaccesibles durante largos periodos de tiempo. Planifica que los datos y las aplicaciones esenciales estén disponibles lo antes posible en esas ubicaciones.
8. Revisa a los proveedores clave y a los de servicios para garantizar que cuentan con sus propios BCP que protegen su negocio en caso de que sufran una interrupción significativa.
9. Practica el plan repasando con todas las partes interesadas los pasos que se deben tomar en caso de interrupción. Configura un programa para probar estos planes al menos una vez al año de cara a identificar y controlar los cambios entre proveedores, personal o instalaciones.

Por último, los expertos aconsejan que las operaciones de recuperación estén automatizadas al máximo, lo que permite a las partes interesadas y a los trabajadores centrarse en el plan general de continuidad de negocio. Un ejemplo es el uso de sistemas de conmutación por error que cambian automáticamente a servidores o redes de copia de seguridad si fallan los principales. La automatización aumenta las posibilidades de un resultado positivo y predecible.

Comprobación de un plan de continuidad de negocio

Los planes de continuidad de negocio son tan buenos como los hábitos de las personas que los utilizan. Mientras que predecir un desastre real es casi imposible, es totalmente posible simular un evento disruptivo para que el personal pueda practicar las acciones que probablemente tendrán que realizar. Antes de que se pueda realizar cualquier prueba, las partes interesadas deben haber visto y asimilado el BCP.

Las pruebas deben evaluar los elementos clave del plan, incluidos los tiempos de reacción a los cortes de energía y fallos informáticos, la viabilidad de los sistemas de comunicaciones internos y externos, y los procedimientos de alerta y activación para el personal clave.

Las pruebas no solo familiarizan a las personas con sus responsabilidades en caso de interrupción, sino que también ayudan a identificar brechas o defectos del plan para que puedan abordarse antes de una emergencia real.

Entre las mejores prácticas para este tipo de pruebas se incluyen las siguientes:

• Pruebas de simulación. Esto implica llevar a las partes interesadas clave a una sala de conferencias física o virtual, describir un evento disruptivo y luego pedir a cada una de ellas que enumere las acciones que tomarían de acuerdo con el BCP que ya habrán leído.
• Pruebas de repaso. También conocida como prueba de recuperación simulada, esta es una versión más completa del ejercicio de simulación. En esta prueba, los empleados repasan físicamente los pasos que seguirían en caso de interrupción. Por ejemplo, el personal de gestión de instalaciones demostraría cómo garantizarían que los generadores de respaldo funcionasen, y alguien en TI usaría el documento de información de contacto para ponerse en contacto con su centro de datos o proveedor de servicios en la nube.
• Servicios de pruebas de terceros. Los proveedores externos prueban en qué medida están preparados el personal de tu organización y las partes interesadas clave para reaccionar a interrupciones simuladas, incluidas las demandas de ransomware y otros actos maliciosos. Las empresas especializadas en ciberseguridad pueden examinar las capacidades de los empleados para garantizar que no caigan en el phishing u otros engaños psicológicos que pueden resultar en violaciones de los sistemas de TI.

Los MBC deben realizar pruebas al menos una vez al año y establecer un formato para que las partes interesadas compartan y revisen los resultados.

Estándares de continuidad de negocio

Los planes de continuidad de negocio en ciertas industrias, especialmente servicios financieros, servicios públicos y salud, están sujetos a estándares locales, nacionales o internacionales. De hecho, se aplican más de 120 regulaciones de gestión de la continuidad de negocio a una variedad de industrias, según DRI International, una consultora de recuperación ante desastres sin fines de lucro. Estos incluyen la Comisión de Seguridad e Intercambio, la Autoridad Reguladora de la Industria Financiera y los reglamentos Sarbanes-Oxley en los Estados Unidos, así como el marco normativo internacional Basilea III para los bancos y la ISO 22301 de la Organización Internacional de Normalización.

Otros estándares de continuidad de negocio incluyen el Instituto Nacional de Estándares y Tecnología SP 800-34 y 24762 y el estándar NFPA 1600 de la Asociación Nacional de Protección contra Incendios de los Estados Unidos para la continuidad, emergencia y gestión de crisis. Las normas más generales de continuidad de las actividades incluyen el Reglamento General de Protección de Datos de la UE, que, debido a que regula el almacenamiento y la difusión de datos, también es relevante para la continuidad de las actividades.

Continuidad de negocio y recuperación ante desastres

La continuidad de negocio y la recuperación ante desastres son dos áreas estrechamente relacionadas. Ambas son planes organizativos para sobrevivir y recuperarse rápidamente de una interrupción empresarial potencialmente catastrófica, y ambos también están estrechamente vinculados a TI, dada la dependencia en infraestructura y aplicaciones de TI de las empresas.

Para citar solo un ejemplo de cuánto dependen de TI todas las empresas, la mayoría de los centros deportivos profesionales de Estados Unidos ya no aceptan pagos en efectivo, lo que significa que los sistemas informatizados de terminal de punto de venta deben estar operativos para que vendan alimentos, bebidas, equipos y otros bienes.

Continuidad de negocio frente a recuperación ante desastres

La norma ISO 22301 define la continuidad de negocio como "procedimientos documentados que guían a las organizaciones a responder, recuperar, reanudar y restaurar a un nivel predefinido de operaciones después de una interrupción". La recuperación ante desastres es un subconjunto de la continuidad de negocio que implica la restauración de los servicios de TI, incrementalmente si es necesario. Una de las principales diferencias entre la continuidad de negocio y la recuperación ante desastres es que la primera tiene en cuenta todas las interrupciones del negocio, incluidas las planificadas.

Tecnología y continuidad de negocio

La continuidad de negocio depende de una amplia variedad de factores, como la industria en la que opera una organización y la naturaleza de la disrupción en sí. Pero en la era de la información, casi toda la continuidad de negocio depende de algún nivel de funcionalidad de TI. Por lo tanto, es crucial que las empresas se aseguren de que tienen niveles adecuados de infraestructura redundante y replicación de datos, no solo para apoyar el curso normal de las operaciones de un negocio, sino también para garantizar que la empresa pueda operar de manera eficiente durante un evento disruptivo.

Cuanto más cortos sean los RTO y los RPO, mejor será la continuidad. Sin embargo, el costo de lograr cualquier RTO o RPO cuanto más corto es el objetivo. Las opciones de arquitecturas pueden resultar útiles. Los líderes empresariales deben considerar el uso de la computación en la nube e, idealmente, los contenedores para aislar aún más los datos críticos de los sistemas que se han interrumpido. También deben buscar proveedores de servicios en la nube con instalaciones de failover geográficamente dispares.

Desde la perspectiva de la continuidad de negocio, una de las ventajas de la computación en la nube es lo que se conoce como "despliegues de luz piloto", donde los sitios secundarios o copias de cargas de trabajo corporativas pueden llegar a ser tan pequeños como una sola máquina virtual (VM) o contenedor. En caso de failover, esa única máquina virtual o contenedor puede, si es necesario, iniciar un proceso automatizado que permita a tu organización poner en marcha el resto de la infraestructura. Y al utilizar un despliegue de luz piloto, las organizaciones solo necesitan pagar por ese único recurso en lugar de replicar todo un sistema.

Otra estrategia es la llamada arquitectura "azul-verde", donde en lugar de tener de cuatro a seis entornos redundantes para desarrollo y prueba y uno separado para el despliegue de producción, una organización despliega solo dos entornos redundantes y distribuidos. Digamos que el entorno "azul" es la producción y el "verde" es el desarrollo y las pruebas. Cuando se completa el desarrollo, el entorno "verde" se convierte en el entorno de producción principal y el entorno "azul" se utiliza para el desarrollo, las pruebas y la recuperación ante desastres. Este ciclo se repite.

Simplifica tu estrategia de continuidad de negocio con Oracle Cloud Infrastructure

Oracle simplifica y hace más rentable el desarrollo de un plan integral de continuidad de negocio. Debido a que Oracle Cloud Infrastructure (OCI) se desarrolló más tarde que otras nubes a hiperescala, se creó para ofrecer mejores niveles de eficiencia y fiabilidad, menor latencia y una flexibilidad superior en comparación con las nubes de la competencia. Además de los contenedores, Oracle Cloud Infrastructure tiene máquinas virtuales flexibles, lo que significa que las empresas pueden comprar solo la cantidad de poder de procesamiento que necesiten. Otros proveedores ofrecen menos flexibilidad, lo que obliga a los clientes a sobreaprovisionar sus instancias y les cuesta más dinero. Oracle Cloud Infrastructure tiene varias regiones de nube separadas geográficamente en muchos países, lo que permite a los clientes seguir cumpliendo con las regulaciones de soberanía de datos y, al mismo tiempo, contar con ubicaciones dispares para fines de continuidad de negocio.

Basado en décadas de experiencia en desarrollo y comentarios de clientes reales, Oracle ha desarrollado las mejores prácticas denominadas Oracle Maximum Availability Architecture (MAA). Oracle MAA proporciona el plan para implementar soluciones de alta disponibilidad, escalabilidad, recuperación ante desastres y protección de datos en entornos de Oracle Database.

Las mejores prácticas de Oracle MAA, mantenidas por un equipo de desarrolladores de Oracle, validan continuamente el uso integrado de las funciones de alta disponibilidad de Oracle Database, como Oracle Real Application Clusters y Oracle Data Guard, mediante técnicas de ingeniería del caos y otras metodologías de prueba.

Oracle MAA se amplía aún más con el servicio Oracle Cloud Infrastructure Full Stack Disaster Recovery. OCI Full Stack Disaster Recovery organiza la transición de recursos informáticos, bases de datos y aplicaciones entre regiones de Oracle Cloud Infrastructure de todo el mundo con un solo clic. Los clientes pueden automatizar las acciones necesarias para recuperar uno o más sistemas de negocio sin rediseñar ni reorganizar la infraestructura, las bases de datos o las aplicaciones existentes, y sin necesidad de servidores especializados para la conversión o la gestión.

Además, Oracle Autonomous Database y Oracle Exadata Database Service tienen redundancia incorporada, lo que significa que los clientes no pagan más por la replicación de datos dentro de la misma zona de disponibilidad.

Las expectativas de continuidad de negocio cambian a medida que evoluciona el panorama tecnológico. Por ejemplo, la mayoría de las empresas solían concebir los RTO en relación con las llamadas aplicaciones de nivel 1, pero las opciones de computación en la nube menos costosas, como las luces piloto, significan que las organizaciones pueden permitirse el lujo de crear planes de continuidad de negocio para todas sus aplicaciones.

Preguntas frecuentes sobre la continuidad de negocio

¿Cuáles son los cuatro pilares de la continuidad de negocio?

En su forma más básica, la continuidad de negocio consiste en reunir un equipo centrado en la continuidad de negocio, evaluar qué áreas corren más riesgo durante un evento disruptivo, crear un plan para mantener las operaciones a niveles mínimamente viables y luego ensayar y probar ese plan de forma regular.

¿Cuál es la diferencia entre la continuidad de negocio y la recuperación ante desastres?

La continuidad de negocio es un enfoque organizacional diseñado para garantizar que la entidad pueda continuar operando en alguna capacidad sea cual sea la interrupción, planificada o no, mientras que la recuperación ante desastres se centra en recuperar los sistemas de TI.

¿Por qué es importante tener un BCP?

Las organizaciones que no tienen planes de continuidad de negocio actualizados están en mayor riesgo que las que sí lo tienen. En el peor de los casos, pueden quedarse no operativas de forma permanente debido a una interrupción inesperada significativa de su actividad habitual. A consecuencia, puede ver cómo sus clientes se pasan a la competencia, perder de datos e incurrir en elevados costos para corregir la situación.