Seguir Kyndryl

Adaptarse y responder a los riesgos con un plan de continuidad de negocio (BCP)

¿Qué es un plan de continuidad de negocio?

Un plan de continuidad de negocio (BCP) es un documento que describe cómo seguirá funcionando un negocio durante una interrupción no planificada del servicio. Es más completo que un plan de recuperación tras desastre y contiene contingencias para procesos de negocio, activos, recursos humanos y socios comerciales, es decir, todos los aspectos del negocio que pueden verse afectados.

Los planes suelen contener una lista de comprobación que incluye los suministros y equipos, las copias de seguridad y las ubicaciones de las copias de seguridad del sitio. Los planes también pueden identificar a los administradores de planes e incluir información de contacto para personal de emergencia, personal clave y proveedores de copias de seguridad del sitio. Los planes pueden ofrecer estrategias detalladas sobre cómo mantener las operaciones de la empresa en caso de interrupciones a corto y largo plazo.

Un componente clave de un plan de continuidad de negocio (BCP) es un plan de recuperación tras desastre que contiene estrategias para manejar interrupciones de TI en redes, servidores, sistemas personales y dispositivos móviles. El plan debe cubrir cómo restablecer la productividad de la oficina y el software de la empresa para que se puedan satisfacer las necesidades clave de la empresa. El plan debe incluir soluciones manuales para que las operaciones puedan continuar hasta que se restablezcan los sistemas informáticos.

Un plan de continuidad de negocio para aplicaciones y procesos clave tiene tres aspectos principales:

  • Alta disponibilidad: proporcionar la capacidad y los procesos para que una empresa tenga acceso a las aplicaciones independientemente de las fallos locales. Estos errores pueden producirse en los procesos de negocio, en los recursos físicos o en el hardware o software de TI.
  • Operaciones continuas: proteger la capacidad de mantener las cosas en funcionamiento durante una interrupción, así como durante las interrupciones planificadas, como las copias de seguridad planificadas o el mantenimiento planificado.
  • Recuperación tras desastre: establecer una manera de recuperar un centro de datos en un sitio distinto si un desastre destruye el sitio primario o lo deja inoperativo.

 

Evolución de los planes de continuidad de negocio

La planificación de la continuidad del negocio surgió a partir de la planificación de la recuperación tras desastre a principios de los 70. Las organizaciones financieras, tales como los bancos y las compañías de seguros, invirtieron en sitios alternativos. Las cintas de copia de seguridad se almacenaban en sitios protegidos alejados de los sistemas. Los esfuerzos de recuperación casi siempre se desencadenaban a raíz de un incendio, una inundación, una tormenta u otra devastación física. En la década de los 80 crecieron los sitios de recuperación comercial que ofrecían servicios informáticos de forma compartida, pero el énfasis seguía estando solo en la recuperación de TI.

La década de los 90 supuso un fuerte aumento de la globalización corporativa y la generalización del acceso a los datos. Los negocios pensaban más allá de la recuperación tras desastre y de forma más holística en todo el proceso de continuidad del negocio. Las empresas se dieron cuenta de que sin un plan exhaustivo de continuidad del negocio podrían perder clientes y su ventaja competitiva. Al mismo tiempo, la planificación de la continuidad del negocio era cada vez más compleja, ya que había que tener en cuenta las arquitecturas de aplicaciones como aplicaciones distribuidas, procesamiento distribuido, datos distribuidos y entornos de computación híbrida.

Hoy en día, las organizaciones son cada vez más conscientes de su vulnerabilidad a los ciberataques, que pueden paralizar un negocio o destruir permanentemente sus sistemas informáticos. Además, la transformación digital y la hiperconvergencia crean pasarelas no intencionadas a riesgos, vulnerabilidades, ataques y fallos. Los planes de continuidad de negocio deben incluir una estrategia de resiliencia cibernética que pueda ayudar a un negocio a soportar incidentes cibernéticos perturbadores. Los planes suelen incluir formas de defenderse de dichos riesgos, proteger aplicaciones y datos cruciales y recuperarse de una infracción o fallo de una manera controlada y cuantificable.

También existe la cuestión del aumento exponencial de los volúmenes de datos. Las aplicaciones como soporte de decisiones, el repositorio de datos, la minería de datos y la gestión de recursos de los clientes pueden requerir inversiones de tamaño de petabytes en el almacenamiento en línea.

La recuperación de datos ya no se presta a un enfoque unidimensional. La compleja infraestructura de TI de la mayoría de las instalaciones ha superado la capacidad de la mayoría de los comercios para responder de la forma en que lo hicieron hace unos años. Los estudios de investigación han demostrado que, sin una planificación adecuada, las empresas que se recuperan de algún modo de una catástrofe inmediata no suelen sobrevivir a medio plazo.

 

¿Por qué es tan importante un plan de continuidad de negocio?

Es importante contar con un plan de continuidad del negocio para identificar y abordar la sincronización de resiliencia entre procesos de negocio, aplicaciones e infraestructura de TI. Según IDC, un fallo en la infraestructura puede costar una media de 100 000 dólares por hora, y un fallo de una aplicación esencial puede costar entre 500 000 y 1 millón de dólares por hora.

Para resistir y prosperar durante estas numerosas amenazas, las empresas se han dado cuenta de que necesitan hacer algo más que crear una infraestructura fiable que soporte el crecimiento y proteja los datos. Las empresas están desarrollando ahora planes holísticos de continuidad de negocio que puedan mantener su negocio en funcionamiento, proteger los datos, salvaguardar la marca, retener a los clientes y, en última instancia, ayudar a reducir los costes operativos totales a largo plazo. Contar con un plan de continuidad de negocio puede minimizar el tiempo de inactividad y lograr mejoras sostenibles en la continuidad del negocio, la recuperación tras desastre de TI, las capacidades de gestión de crisis corporativas y la conformidad normativa.

Sin embargo, desarrollar un plan integral de continuidad de negocio se ha vuelto cada vez más difícil porque los sistemas están cada vez más integrados y distribuidos en entornos de TI híbridos, lo que crea posibles vulnerabilidades. Vincular más sistemas esenciales para gestionar mayores expectativas complica la planificación de la continuidad del negocio, junto con la recuperación de desastres, la resistencia, la conformidad normativa y la seguridad. Cuando un eslabón de la cadena se rompe o sufre un ataque, el impacto puede extenderse a todo el negocio. Una organización puede hacer frente a pérdida de ingresos y a la erosión de la confianza de los clientes si no logra mantener la resiliencia del negocio mientras se adapta rápidamente y responde a los riesgos y a las oportunidades.

 

Uso de consultoría, software y soluciones basadas en cloud para un plan de continuidad de negocio

Muchas empresas luchan por desarrollar sus estrategias de resiliencia con la suficiente rapidez para hacer frente a los actuales entornos de TI híbridos y a las demandas cambiantes del negocio. En un mundo siempre activo las 24 horas y 7 días a la semana, las empresas globales pueden obtener una ventaja competitiva, o perder cuota de mercado, en función de la fiabilidad con la que los recursos de TI atiendan a las necesidades básicas del negocio.

Algunas organizaciones utilizan servicios de consultoría de gestión de continuidad externos para ayudar a identificar y abordar la sincronización de resiliencia entre los procesos de negocio, las aplicaciones y la infraestructura de TI. Los consultores pueden proporcionar una solución flexible de continuidad de negocio y de recuperación tras desastre para responder a las necesidades de una empresa, lo que incluye evaluaciones, planificación y diseño, implementación, pruebas y gestión completa de la continuidad del negocio.

Existen servicios proactivos, como Kyndryl IT Infrastructure Recovery Services que ayudan a las empresas a identificar los riesgos y a garantizar que estén preparadas para detectar, reaccionar y recuperarse de una interrupción.

Con el aumento de los ciberataques, las empresas están pasando de un enfoque de recuperación tradicional/manual a un enfoque de resiliencia automatizado y definido por software. El enfoque de Kyndryl Cyber Resilience Services utiliza tecnologías avanzadas y las mejores prácticas para evaluar los riesgos, priorizar y proteger las aplicaciones y los datos cruciales para la empresa. Estos servicios también pueden ayudar a las empresas a recuperarse rápidamente durante y después de un ataque cibernético.

Otras empresas recurren a servicios de copia de seguridad basados en cloud, como Kyndryl Disaster Recovery como servicio (DRaaS), para proporcionar una réplica continua de las aplicaciones, la infraestructura, los datos y los sistemas esenciales para una rápida recuperación tras una interrupción de TI. También hay opciones de servidor virtual como, por ejemplo, Kyndryl Cloud Virtualized Server Recovery, para proteger los servidores esenciales en tiempo real. Esto permite una rápida recuperación de las aplicaciones en un Kyndryl Resiliency Center, para mantener las empresas operativas durante periodos de mantenimiento o un tiempo de inactividad inesperado.

Para un número creciente de organizaciones, la respuesta es con coordinación de resiliencia, un enfoque basado en cloud que utiliza la automatización de recuperación tras desastre y una suite de herramientas de gestión de continuidad de negocio diseñadas específicamente para entornos de TI híbridos. Por ejemplo, IBM Resiliency Orchestration permite proteger las dependencias de los procesos de negocio de las aplicaciones, los datos y los componentes de infraestructura. Aumenta la disponibilidad de las aplicaciones de negocio para que las empresas puedan acceder a la información necesaria de alto nivel o en profundidad sobre el Objetivo de Punto de Recuperación (RPO), el Objetivo de Tiempo de Recuperación (RTO) y el estado general de la continuidad de TI desde un panel de control centralizado.

 

Características clave de un plan de continuidad de negocio efectivo (BCP)

Los componentes de la continuidad del negocio son:

  • Estrategia: objetos relacionados con las estrategias utilizadas por la empresa para llevar a cabo las actividades cotidianas garantizando la continuidad de las operaciones
  • Organización: objetos relacionados con la estructura, las habilidades, las comunicaciones y las responsabilidades de sus empleados
  • Aplicaciones y datos: objetos relacionados con el software necesario para habilitar las operaciones de negocio, así como el método para proporcionar alta disponibilidad que se utiliza para implementar dicho software
  • Procesos: objetos relacionados con los procesos de negocio fundamentales necesarios para el funcionamiento de la empresa, así como los procesos de TI utilizados para garantizar el buen funcionamiento.
  • Tecnología: objetos relacionados con los sistemas, la red y la tecnología específica del sector necesarios para permitir operaciones continuas y copias de seguridad de las aplicaciones y los datos
  • Instalaciones: objetos relacionados con el suministro de un sitio de recuperación tras desastre si se destruye el sitio primario

El plan de continuidad de negocio se convierte en una fuente de referencia en el momento de un suceso o crisis de continuidad del negocio y en el modelo de estrategia y táctica para hacer frente al suceso o a la crisis.

En la figura siguiente se ilustra un proceso de planificación de continuidad de negocio que utiliza Kyndryl Global Technology Services. Es un bucle cerrado que da soporte a la iteración continua y a la mejora como objetivo. El proceso de planificación consta de tres secciones principales:

  • Priorización del negocio: identificar los distintos riesgos, amenazas y vulnerabilidades, y establecer prioridades.
  • Integración en TI: tomar la información de la priorización del negocio y realizar un diseño general del programa de continuidad de negocio.
  • Gestión: administrar lo que se ha evaluado y diseñado.
Priorización del negocio, integración en TI, Gestión