Lista de verificación del plan de continuidad del negocio

A disruption or a disaster can happen when you least expect it. In fact, 80% of data center managers have experienced an outage in the past three years. Whether it is a cyber attack, ransomware infection, human error or natural disaster, lengthy downtime can have a detrimental impact on your organization’s operations.

Tener un plan robusto de continuidad del negocio (BCP) como parte de su estrategia de gestión de riesgos le permite mantener o restaurar rápidamente funciones críticas en caso de interrupción. Un BCP también protege la infraestructura de la empresa y sirve como un esquema que puede seguir para responder adecuadamente a un incidente.

Esta publicación enumera los elementos esenciales de la lista de verificación del plan de continuidad del negocio. Siga leyendo para descubrir el mejor curso de acción que debe tomar para reanudar con éxito las operaciones con repercusiones mínimas.

Por qué necesita un plan de continuidad del negocio

A business continuity plan (BCP) determines how an organization can continue delivering products and services during unplanned disruptions. The BCP is a detailed strategy that helps mitigate the impact of a disaster on day-to-day activities while keeping the production environment going.

A comprehensive BCP should tackle all potential threats that could endanger your employees, resources and operations, whether it is a power outage, a malware infection or a natural disaster. This is particularly important since all these events can cause downtime, which, in turn, results in financial loss, reputational damage or permanent closure.

El propósito principal del plan de continuidad del negocio es garantizar la preparación para emergencias al permitir que su equipo de respuesta complete metódicamente los pasos necesarios antes, durante y después de un escenario disruptivo. Las empresas sin esta lista de verificación pueden tener dificultades para mantener procesos comerciales normales y corren el riesgo de perder datos, sistemas o clientes, a menudo de forma irreparable.

El plan de continuidad del negocio de 7 pasos

La lista de verificación de 7 pasos le ayuda a formular un marco general de prioridades sobre el que puede construir para crear un plan de continuidad del negocio adaptado a su organización. Puede incluir todos los procedimientos que necesita para mantener las operaciones comerciales durante una crisis. Tenga en cuenta que los detalles exactos varían de una empresa a otra según diferentes aspectos como el tamaño del negocio, la industria y el tipo de amenazas.

El plan de continuidad del negocio estándar típicamente incluye los siguientes pasos:

1. Crear un equipo de respuesta ante desastres
2. Identificar los servicios comerciales esenciales
3. Realice evaluación de riesgos y análisis de impacto comercial
4. Desarrolle un plan de recuperación
5. Establezca objetivos de recuperación y designe un sitio de DR
6. Asegúrese de que todas las cargas de trabajo críticas para el negocio estén protegidas
7. Pruebe y actualice su plan de continuidad empresarial

Echemos un vistazo más de cerca a cada uno de estos pasos para entender por qué son elementos importantes de cualquier lista de verificación de BCP.

1. Cree un equipo de respuesta a desastres

El primer paso para formular un plan de continuidad empresarial es reunir al equipo responsable de mantener en funcionamiento la empresa en caso de emergencia. El equipo de BCP debe incluir miembros de cada departamento involucrado en las operaciones diarias, y debe tener un gerente designado para liderar los esfuerzos de planificación de continuidad empresarial.

Al identificar al personal clave de BCP, es necesario crear una lista extensa de desastres que representen la mayor amenaza para su organización para que pueda reclutar a las personas adecuadas. Diferentes tipos de emergencias como fallos en el sistema de TI, cortes de energía o daños en las instalaciones requieren que los miembros del personal tengan conocimientos y experiencia específicos para manejarlos de manera adecuada y rápida.

Cree una tabla para registrar la información necesaria sobre los miembros del equipo de respuesta para que pueda comunicarse fácilmente con ellos cuando sea necesario. Su tabla puede incluir el nombre, cargo, función en el equipo de respuesta e información de contacto. Tenga en cuenta que debe asignar al menos un suplente para cada rol en el equipo. Esto le permite evitar cuellos de botella en caso de que los delegados principales no cumplan con sus responsabilidades.

2. Identificar servicios comerciales esenciales

Uno de los principales propósitos del plan de continuidad del negocio es ayudarle a identificar los procesos, equipos y recursos que son críticos para el funcionamiento de su organización. Estas son las funciones y servicios de infraestructura importantes en los que debería basar su BCP.

Estos servicios clave y elementos de infraestructura probablemente incluyen:

• Sistemas de energía y generadores
• Dispositivos de telecomunicaciones: WAN, LAN, teléfonos, computadoras
• Sistemas y servidores de TI
• Infraestructura y instalaciones del edificio
• Equipo especializado o suministros críticos para el negocio

Es crucial restablecer estos elementos lo antes posible en caso de interrupción para reanudar sus operaciones y proteger sus activos.

3. Realizar evaluación de riesgos y análisis de impacto empresarial

Después de identificar los servicios comerciales clave, debes realizar una evaluación de impacto de riesgos para descubrir las vulnerabilidades asociadas con los sistemas, actividades y recursos esenciales. La evaluación de riesgos estima la probabilidad de cada amenaza y refleja la probabilidad de que ocurra el desastre.

El análisis de impacto empresarial (BIA), generalmente realizado junto con la evaluación de riesgos, te permite evaluar la criticidad y gravedad del impacto en las operaciones de tu empresa. El objetivo principal del BIA es analizar los costos financieros y operativos que incurrirías en caso de que el riesgo se materialice. Te ayuda a determinar el nivel de tolerancia de procesos importantes y dependencias, como clientes y socios, si las funciones comerciales clave se degradan, interrumpen o se detienen por completo.

Aquí tienes una tabla simplificada que puedes usar como plantilla para comenzar a redactar tu propio análisis:

Proceso de Negocio	Categoría de Impacto	Severidad	Tiempo Máximo de Inactividad Tolerable (MTD)	Costos Estimados	Dependencias

Tenga en cuenta que las organizaciones con múltiples sitios deben realizar una evaluación de riesgos separada y un BIA para cada ubicación. Si estos sitios están geográficamente distantes, entonces los desafíos y riesgos pueden diferir. Un plan de continuidad de negocios sólido también considera las relaciones y dependencias entre las diferentes ubicaciones.

4. Desarrollar un plan de recuperación

Una vez que haya completado los pasos anteriores, es hora de crear un plan de recuperación que se centre en restaurar sus operaciones después de un desastre. La continuidad del negocio y la recuperación ante desastres van de la mano, especialmente porque el plan de recuperación ante desastres (DR) es una parte esencial del plan de continuidad del negocio. Para obtener plantillas de recuperación ante desastres más detalladas, descargue nuestro libro blanco gratuito Handbook and Templates de recuperación ante desastres.

El plan de DR describe los pasos técnicos que necesita realizar para restaurar sus servicios principales lo antes posible. Tenga en cuenta que el plan de recuperación no se limita a los datos, ya que también debe incluir máquinas, cargas de trabajo y procesos.

Su plan de recuperación puede aprovechar las siguientes estrategias, entre otras:

• Procedimientos comerciales alternativos: por ejemplo, soluciones manuales para procesos mecanizados o automatizados hasta que los sistemas vuelvan a funcionar.
• A secondary or alternate site to resume business operations
• Conmutación por error de red y servidor a nivel de sitio
• Recuperación de copias de seguridad fuera del sitio de datos críticos para la empresa
• Recursos “hot-spare” o en espera, que pueden ponerse en servicio inmediatamente cuando los componentes principales fallen

El video a continuación explica cómo puede realizar una recuperación completa de desastres utilizando NAKIVO Backup & Replication.

5. Establecer objetivos de recuperación y designar un sitio de recuperación ante desastres

El objetivo de tiempo de recuperación o RTO determina cuánto tiempo de inactividad del sistema de TI puede tolerar razonablemente una empresa antes de que se restablezcan los procesos o servicios. El objetivo de punto de recuperación o RPO define cuánta pérdida de datos puede tolerar una empresa. Tanto el RTO como el RPO son métricas importantes en cualquier plan de continuidad comercial.

Designar un sitio de recuperación de desastres (DR) para la conmutación por error de red/datos es crucial ya que proporciona un sustituto inmediato en caso de que su sitio de producción primario se desconecte. Además, le ayuda a garantizar que se cumplan sus objetivos de recuperación.

La instalación de DR ubicada en una ubicación geográfica diferente actúa como una copia “en espera” de sus recursos, como máquinas virtuales (VM). En caso de una falla en todo el sitio que caiga su red de producción, el tráfico puede ser desviado al lugar de DR. Las VM “en espera” esencialmente se convierten en cargas de trabajo de producción, restaurando las operaciones comerciales y garantizando la continuidad del negocio de manera eficiente.

Puede utilizar soluciones avanzadas de protección de datos de terceros para replicar VM de producción en un lugar de DR externo y configurar el intervalo de replicación para que coincida con su RPO. La VM replicada es una copia exacta de la máquina original y se puede utilizar en un proceso de conmutación por error automatizado al implementar su plan de recuperación de desastres.

6. Asegúrese de que todas las cargas de trabajo críticas para el negocio estén protegidas

El impacto de un desastre puede mitigarse significativamente protegiendo adecuadamente sus datos críticos para el negocio. Haga sus copias de seguridad resilientes aplicando la regla 3-2-1: tenga un mínimo de 3 copias de seguridad en 2 tipos diferentes de medios de almacenamiento, con al menos 1 copia almacenada fuera del sitio.

Realice copias de seguridad de datos comerciales siguiendo la metodología de respaldo 3-2-1 para lograr los RPOs y RTOs más cortos posibles. Esto también le permite asegurarse de que el mismo desastre que afectó a su red de producción no pueda impactar sus datos de respaldo también.

7. Pruebe y actualice su plan de continuidad del negocio

Una vez que su plan de continuidad del negocio esté completo, se requiere una prueba rigurosa. La mejor manera de hacerlo es capacitando a sus empleados para asegurarse de que comprendan completamente sus roles y responsabilidades. No puede garantizar la preparación para emergencias sin realizar capacitaciones y simulacros regulares. Más importante aún, al realizar simulaciones completas, puede identificar y corregir debilidades dentro de su plan.

Asegúrese de llevar a cabo todos los procedimientos para imitar el flujo de un escenario de desastre real. Este tipo de pruebas son mejores realizadas trimestralmente ya que los miembros clave del equipo permanecen familiarizados con el proceso. Además, los cambios en su infraestructura, entorno, protocolos, cargas de trabajo y/o fuerza laboral pueden introducir complicaciones en el plan. Estos posibles problemas a menudo solo se descubren en el transcurso de simulacros completos.

Las simulaciones deben ser observadas por un observador independiente que pueda tomar notas de todas las vulnerabilidades. Debería haber sesiones de análisis después de cada ejecución, luego puede redactar un informe que documente las debilidades notadas y las actualizaciones propuestas. Los informes, así como el plan de continuidad del negocio actualizado, deben ser compartidos con todos los miembros del equipo.

Lista de verificación del Plan de Continuidad del Negocio

Aquí hay una lista de verificación simplificada del PCN que le permite pasar por las fases necesarias para garantizar la preparación para emergencias.

Crear un equipo de respuesta a desastres

• Asignar un gerente senior de PCN
• Crear un comité de continuidad de negocios
• Elegir miembros del equipo de respuesta
• Definir roles y responsabilidades
• Elegir delegados secundarios para cada miembro del equipo
• Establecer una comunicación clara entre todos los miembros

Identificar servicios empresariales esenciales

• Cartografiar todos los sistemas de energía
• Identificar dispositivos de telecomunicaciones
• Identificar sistemas informáticos y servidores
• Identificar instalaciones y equipos especializados
• Identificar la interdependencia entre servicios
• Verificar servicios de emergencia

Realizar evaluación de riesgos y análisis de impacto empresarial

• Identificar amenazas y vulnerabilidades
• Establecer tolerancia al riesgo
• Determinar procesos empresariales críticos
• Calcular el tiempo máximo tolerable de inactividad para cada servicio
• Analizar el impacto financiero, legal, regulatorio y en los clientes.
• Identificar la interdependencia entre las funciones críticas del negocio

Desarrollar un plan de recuperación

• Crear su plan de continuidad de operaciones (COOP)
• Redactar soluciones manuales para procesos automatizados
• Prepararse para la conmutación por fallo de red y servidores a nivel de sitio
• Probar la recuperación de copias de seguridad externas de datos críticos
• Asegurar que los recursos de reserva estén disponibles

Establecer objetivos de recuperación y designar un sitio de recuperación (DR)

• Designar un sitio secundario para reanudar las operaciones comerciales
• Establecer objetivos de punto de recuperación (RPO)
• Establecer objetivos de tiempo de recuperación (RTO)
• Administrar los procesos de recuperación ante desastres

Proteger los datos críticos del negocio

• Realizar copias de seguridad de los datos críticos del negocio
• Almacenar datos en dispositivos de almacenamiento en el sitio y fuera de él
• Realizar copias de seguridad con aire de seguridad
• Habilitar la inmutabilidad para copias de seguridad específicas

Probar y actualizar su plan de continuidad de negocios

• Realizar pruebas anuales, semestrales, trimestrales
• Realizar simulaciones completas de BCP anualmente
• Crear un proceso de auditoría
• Identificar vulnerabilidades y actualizar el plan
• Capacitar a sus empleados

Conclusión

A business continuity plan checklist is essential to ensure that services can carry on smoothly while you recover the impacted workloads following a disruptive event. Organizations that fail to create a BCP risk suffering from major downtime and data loss which can cause irreparable financial and reputational damage.

Esta lista de verificación proporciona el marco para un plan de continuidad de negocio efectivo que puede ayudarle a resistir incluso los peores escenarios. Tenga en cuenta que un PCN no puede estar completo sin una solución avanzada de protección de datos como NAKIVO Backup & Replication. La solución NAKIVO incluye todas las herramientas que necesita para realizar procesos de respaldo y recuperación, automatizar flujos de trabajo de DR y llevar a cabo pruebas de DR no disruptivas para asegurar que se cumplan sus objetivos de recuperación.