¿QUÉ ES UN PLAN DE CONTINUIDAD O BCP?

Un Plan de Continuidad Empresarial (BCP) es un documento que consta de la información crítica que necesita una empresa para continuar operando durante un evento no planificado. El BCP debe establecer las funciones esenciales de la empresa, identificar qué sistemas y procesos deben mantenerse y detallar cómo mantenerlos. En él se debe tener en cuenta cualquier posible interrupción del negocio.

Con diferentes riesgos que van desde ataques cibernéticos a desastres naturales o errores humanos, es vital para una organización tener un plan de continuidad comercial para preservar su salud y reputación. Un Business Continuity Plan adecuado reduce la posibilidad de una interrupción costosa.

Si bien los administradores de la empresa a menudo crean el plan, la participación del personal ejecutivo puede ayudar en el proceso, agregando conocimiento de la compañía, brindando supervisión y ayudando a garantizar que el BCP se actualice periódicamente.

Lo que necesita un plan de continuidad de negocio

De acuerdo con el consultor de continuidad de negocios Paul Kirvan, un BCP debe contener los siguientes elementos:

·      Los datos iniciales, incluida la información de contacto de la organización, que también se encuentra al comienzo del plan.

·      Proceso de gestión de revisiones que describe los procedimientos de gestión de cambios.

·      Propósito y alcance.

·      Cómo usar dicho plan, incluidas las pautas sobre cuándo se iniciará el mismo.

·      Información de política del plan.

·      Respuesta y manejo de emergencias.

·      Procedimientos paso a paso.

·      Listas de verificación y diagramas de flujo.

·      Horario de revisión, prueba y actualización del plan.

En el libro «Planificación de la continuidad del negocio y recuperación de desastres para profesionales», Susan Snedaker recomienda hacer las siguientes preguntas:

·      ¿Cómo funcionaría el departamento si las computadoras de escritorio, las computadoras portátiles, los servidores, el correo electrónico y el acceso a Internet no estuvieran disponibles?

·      ¿Qué puntos únicos de fallos existen? ¿Qué controles de riesgo o sistemas de gestión de riesgos existen actualmente?

·      ¿Cuáles son las relaciones y dependencias externas críticas?

·      Durante una interrupción, ¿qué soluciones existen para los procesos comerciales clave?

·      ¿Cuál es el número mínimo de personal necesario y qué funciones necesitarían realizar?

·      ¿Cuáles son las habilidades clave, el conocimiento o la experiencia necesaria para recuperarse?

·      ¿Qué controles críticos de seguridad u operacionales se necesitan si los sistemas no funcionan?

Pasos de planificación de continuidad de negocio

El proceso de planificación de la continuidad del negocio contiene varios pasos, que incluyen:

·      Inicio del proyecto.

·      Fase de recopilación de información, con análisis de impacto empresarial y evaluación de riesgos.

·      Desarrollo del plan.

·      Plan de pruebas, mantenimiento y actualización.

Una vez que la empresa ha decidido emprender el proceso de planificación como los que se comentan anteriormente, estos planes ayudan a recopilar datos importantes. El de impacto empresarial señala las funciones de misión crítica que deben continuar durante una crisis y los recursos necesarios para mantener esas operaciones. La evaluación de riesgos detalla los posibles riesgos y amenazas internas y externas, la probabilidad de que ocurran y el posible daño que pueden causar.

El siguiente paso determina las mejores maneras de lidiar con los riesgos y amenazas descritos en ambos casos, y cómo limitar los daños causados por un evento. Un plan de continuidad del negocio exitoso define procedimientos paso a paso para la respuesta. El BCP no debe ser demasiado complejo y no debe contar con cientos de páginas; debe contener la cantidad justa de información para mantener el negocio en funcionamiento.

Para una pequeña empresa, especialmente, un plan de una página con todos los detalles necesarios puede ser más útil que uno largo que es abrumador y difícil de usar. Esos detalles deben incluir los recursos mínimos necesarios para la continuidad del negocio, los lugares donde se puede llevar a cabo, el personal necesario para lograrlo y los costes potenciales.

El BCP debe ser actual y preciso, lo que se puede lograr a través de pruebas y un mantenimiento regular. Una prueba de plan de continuidad de negocios puede ser tan simple como analizar el plan y tan compleja como una revisión completa de lo que sucederá en el caso de una interrupción del negocio. La prueba puede planificarse con mucha antelación o puede ser más espontánea para simular mejor un evento no planificado. Si surgen problemas durante las pruebas, el plan debe corregirse en consecuencia durante la fase de mantenimiento. El mantenimiento también incluye una revisión de las funciones críticas de ambos planes descritos, así como la actualización del plan si es necesario.

Un Plan de Continuidad comercial es un documento vivo y no debe estar guardado en un cajón a la espera de una crisis. Debe mejorarse continuamente, siendo el personal el que debe mantenerlo actualizado a través de actividades regulares de concienciación y evaluación educativa. Además, una auditoría interna o externa del plan de continuidad del negocio evalúa la efectividad del BCP y destaca las áreas de mejora.

Software de planificación de continuidad de negocio, herramientas y tendencias.

Existe ayuda disponible para guiar a las organizaciones a través del proceso de planificación de la continuidad del negocio, desde consultores hasta herramientas y software completo. Una organización basa su inversión en asistencia en la complejidad de la tarea de planificación de la continuidad del negocio, la cantidad de tiempo y el presupuesto. Antes de realizar una compra, es recomendable investigar tanto productos como proveedores, evaluar demostraciones y hablar con otros usuarios.

Para funciones que puedan ser complicadas, el software de planificación de la continuidad del negocio utiliza bases de datos y módulos para ejercicios específicos. El Departamento de Seguridad Nacional de los EE. UU., por ejemplo, a través de su sitio web Ready.gov, ofrece software en su Business Continuity Planning Suite. Otros proveedores de software de continuidad empresarial incluyen ClearView, Continuity Logic, Fusion y Sungard Availability Services.

El rol del profesional de la continuidad del negocio ha cambiado y continúa evolucionando. Como a los administradores de las empresas muchas veces se les pide que hagan más con menos, es recomendable que los profesionales de continuidad de negocios estén bien versados en tecnología, seguridad, gestión de riesgos, gestión de emergencias y planificación estratégica. La planificación de la continuidad del negocio también debe tener en cuenta las tecnologías emergentes y en crecimiento, como la nube y la virtualización, y las nuevas amenazas, como los ataques cibernéticos como el ransomware.

Estándares de planificación de continuidad de negocio

Los estándares de planificación de la continuidad del negocio proporcionan un punto de partida.

Según Kirvan, el estándar de la Organización Internacional de Normalización (ISO) 22301 : 2012 se considera generalmente como el estándar global para la gestión de la continuidad del negocio. La norma ISO 22301: 2012 a menudo se complementa con otras normas, tales como:

·      ISO 22313: guía para un sistema de gestión de continuidad de negocio y mejora continua.

·      ISO 22317: directrices para el análisis del impacto en el negocio.

·      ISO 22318: continuidad de las cadenas de suministro.

·      ISO 22398: pautas de ejercicio.

·      ISO 22399: preparación ante incidentes.

Gestión de emergencias y planes de recuperación ante desastres en la planificación del Plan de Continuidad

Un plan de manejo de emergencias es un documento que ayuda a mitigar el daño de un evento peligroso. La planificación adecuada de la continuidad del negocio incluye la gestión de emergencias como un componente importante. El equipo de administración de emergencias específicamente definido toma el liderazgo durante una interrupción del negocio.

El plan de manejo de emergencias, como el BCP, debe revisarse, probarse y actualizarse en consecuencia. Debe ser bastante simple y proporcionar los pasos necesarios para pasar un evento. El plan también debe ser flexible, ya que las situaciones suelen ser muy fluidas y el equipo debe comunicarse con frecuencia durante el incidente.

La recuperación de desastres y la planificación de la continuidad del negocio a menudo están vinculadas, pero son diferentes. Un plan de recuperación de desastres detalla cómo una organización se recupera después de una interrupción del negocio. Un plan de continuidad comercial es un enfoque más proactivo, ya que describe cómo una organización puede mantener las operaciones durante una emergencia.

Recursos requeridos para apoyar estrategias de recuperación

La recuperación de un proceso crítico o sensible al tiempo requiere recursos. La hoja de trabajo de los Requisitos de recursos de continuidad del negocio debe ser completada por los gerentes de procesos y funciones del negocio. Las hojas de trabajo completadas se utilizan para determinar los requisitos de recursos para las estrategias de recuperación.

Después de un incidente que interrumpe las operaciones comerciales, se necesitarán recursos para llevar a cabo estrategias de recuperación y restaurar las operaciones comerciales normales. Los recursos pueden provenir de la empresa o ser proporcionados por terceros. Los recursos incluyen:

·       Empleados.

·       Espacio de oficina, mobiliario y equipamiento.

·       Tecnología (ordenadores, periféricos, equipos de comunicación, software y datos).

·       Registros vitales (electrónicos y en papel).

·       Instalaciones de producción, maquinaria y equipo.

·       Inventario incluyendo materias primas, productos terminados y bienes en producción.

·       Servicios públicos (electricidad, gas natural, agua, alcantarillado, teléfono, Internet, conexión inalámbrica).

·       Servicios de terceros.

Dado que no se pueden reemplazar todos los recursos inmediatamente después de una pérdida, los gerentes deben estimar los recursos que serán necesarios en las horas, días y semanas posteriores a un incidente.

El BCP es un documento logístico que pone en práctica, en una empresa y a través de un plan de recuperación y restauración, las funciones críticas tras un incidente.

Por Juan Martín. Director Cerem International Business School, 10 de diciembre de 2018 https://www.cerembs.co/blog/que-es-un-plan-de-continuidad-o-bcp