¿Por qué elaborar un Plan de Continuidad del Negocio?
Incendios, cortes en el suministro eléctrico, actos vandálicos, ataques informáticos o fugas de información. Diariamente una empresa puede verse afectada por multitud de escenarios que hagan peligrar la continuidad del negocio. Para evitar que uno de los sucesos anteriores, u otro cualquiera, reduzca la actividad empresarial o incluso llegue a detenerla, será de suma importancia elaborar un plan de continuidad de negocio.
Claves para elaborar un Plan de Continuidad del Negocio
Existen varios aspectos a tener en cuenta a la hora de elaborar un plan de continuidad de negocio, teniendo como base la norma ISO 22301:
Determinar el alcance del Plan. Para ello, habrá que realizar una revisión de los activos de la organización e identificar aquellos que sean imprescindibles o que se consideren críticos y que van a variar en base a la actividad de la organización. Por ejemplo, para una pyme con un comercio online, un activo crítico será su página web; mientras que para otra empresa que realice venta tradicional, no lo será tanto.
Definir responsables. Haciendo un símil marítimo, un plan de continuidad sin responsable será como un barco sin capitán: muchas órdenes e ideas pero nadie que ponga orden en el caos. Por lo tanto, habrá que determinar quién debe hacerse cargo de la situación. Este aspecto será esencial para organizar el equipo y las medidas a llevar a cabo de cara a mitigar un incidente.
Realizar un análisis de impacto en el negocio. También conocido como BIA por sus siglas en inglés «Business Impact Analysis». Tendrá como objetivo identificar las necesidades del negocio en términos de recuperación, sobre todo en aquellos activos considerados críticos. Para llevar a cabo un BIA hay que recabar toda la información posible mediante reuniones con los distintos departamentos y definir tanto los tiempos de recuperación, como su criticidad.
Política de comunicación y aviso a entidades externas. En algunas situaciones será necesario tender un hilo de contacto con entidades externas, como autoridades o medios de comunicación. En este caso, habrá que determinar los responsables de esta comunicación y cómo han de hacerlo.
Definir la estrategia de continuidad. Aquí determinaremos cuál es la estrategia más adecuada para garantizar la continuidad de la organización. Esta tarea deberá ser acorde con los resultados arrojados por el BIA. La estrategia que se siga deberá estar adaptada a cada empresa en concreto, pero existen unos puntos básicos y comunes que se deberán tener en cuenta:
Desarrollar una cultura en seguridad. La principal forma de evitar un incidente de seguridad es dar formación a los miembros de la organización, ya que serán ellos quienes traten la información y las herramientas que la gestionan.
Protección de la información. Habiendo realizado un BIA, tendrás la certeza de que la información es uno de los activos más críticos que manejas. Es importante establecer medidas de seguridad preventivas y reactivas y de esta forma, garantizar los tres pilares de seguridad de la información: confidencialidad, disponibilidad e integridad.
Protección del puesto de trabajo. La información, además de ser tratada por los miembros de la organización, es gestionada por las herramientas que la utilizan en su día a día. Para mitigar los riesgos asociados a este tratamiento, se deberán establecer una serie de medidas de seguridad, ya sean de carácter organizativo o técnico.
Cumplimiento legal. Este aspecto aplica a todos por igual y deben estar acordes con las normas regulatorias, por ejemplo, RGPD.
Desarrollar actividades de entrenamiento y verificación. Una de las mejores formas para saber cómo tratar cualquier situación lo marca la experiencia. De allí la importancia del entrenamiento y la práctica.
Establecer la caducidad del plan. Este tipo de planes deberán actualizarse periódicamente para garantizar un nivel óptimo de seguridad. El plan también debe actualizarse siempre que se acometan cambios importantes en los sistemas de la organización.
Elaborar un plan de continuidad es una forma de garantizar la supervivencia de la organización en caso de desastre. Una empresa que esté preparada ante cualquier incidente o eventualidad, podrá tomar las medidas oportunas para mitigar el problema y recuperar su actividad. Pero una que no lo esté, contará con más dificultados para recuperarse y en caso de hacerlo, seguramente sea con pérdidas económicas y de reputación.
La capacitación y la actualización profesional es una inversión, no un gasto, y no debe relegarse a un segundo plano.