Cualquier organización o empresa se enfrenta a amenazas que pueden poner en peligro su actividad o negocio, como catástrofes naturales, fallos técnicos, problemas sanitarios o ataques cibernéticos. Un plan de continuidad del negocio puede ayudar a mejorar la resiliencia de la empresa si se produce una de estas eventualidades. Descubre las ventajas del plan y de su optimización.
Superar y sobrevivir a un incidente grave que provoque la interrupción del negocio debe ser un objetivo prioritario para cualquier empresa que desarrolle su actividad en el actual mercado competitivo. Sin embargo, todavía hay muchas empresas que no cuentan con un plan de continuidad del negocio que, por ejemplo, en el caso de un ciberataque, les permita afrontar en el menor tiempo posible una interrupción del servicio, restituyéndolo, minimizando los daños, efectos sobre la productividad y reputación, por ende, sobre la rentabilidad.
Entendiendo los fundamentos: Plan de Continuidad del Negocio
Estos planes de continuidad del negocio, alineados con los objetivos de la empresa, tienen que elaborarse tras realizarse un exhaustivo análisis de los riesgos, contemplando los posibles escenarios que pueden llevar a una interrupción de la actividad así como el posible impacto de cada uno de ellos en dicha actividad y en la propia organización.
Además, en los planes de continuidad deben estar perfectamente delimitadas las responsabilidades de cada uno de los actores, así como los protocolos de comunicación y los planes de normalización, de contingencia y recuperación de la actividad.
En el contexto de la elaboración de un plan de continuidad del negocio hay algunos conceptos como RPO, RTO, WRT y MTD, que sirven para medir y optimizar la capacidad de respuesta y recuperación ante un incidente. Vamos a explicar en qué consiste cada uno de ellos.
Pilares esenciales: Profundizando en RPO y RTO
Comenzamos esta descripción de conceptos con RPO, siglas que corresponden a Recovery Point Objective (punto máximo de pérdida de datos aceptable). Este concepto está relacionado con la cantidad de datos que una empresa puede perder en caso de una interrupción, es decir, el tiempo máximo que transcurre desde que se realiza la última copia de seguridad y el momento del incidente. Cuanto menor sea ese tiempo, menor efecto tendrá la interrupción.
Si se ha producido la interrupción de la actividad, el RTO (Recovery Time Objective) es el indicador de medida del tiempo máximo que a una empresa puede llevarle la recuperación de sus operaciones esenciales. En este tiempo, se pondrían en marcha de nuevo los sistemas y aplicaciones, con la restauración de datos gracias a la última copia de seguridad.
WRT y MTD: Estrategias para la recuperación eficiente
Para una segunda fase, tras superarse la fase crítica de cualquier incidente o interrupción del servicio, hay otros indicadores para medir el proceso de recuperación. El primero de ellos es WRT (Work Recovery Time), concepto que indica el tiempo que a una empresa le supone la vuelta a la normalidad en su producción y funcionamiento, tras el incidente. En este periodo, se resolverán los flecos pendientes y se intentará volver a la rutina de trabajo y a los niveles habituales de eficiencia que se tenían antes de la interrupción.
El último de los conceptos o métricas es importante, porque representa un punto clave a la hora de hablar de daños irreparables en el negocio o, en el mejor de los casos, de recuperación de la viabilidad. El MTD (Maximum Tolerable Downtime) es el tiempo máximo que una empresa podría aguantar sin actividad antes de sufrir consecuencias irreversibles, como pérdida relevante de clientes y daño total a la reputación.
Tras considerar estos conceptos, que cada empresa debe tener evaluados, queda claro que la optimización del plan de continuidad del negocio pasa por reducir, en la medida de lo posible, los dos primeros, RPO y RTO.
Para mejorar el RPO, se puede establecer un protocolo de copias de seguridad que contemple más frecuencia o menor tiempo entre ellas, contando con herramientas de automatización que reducen los riesgos de errores humanos.
Los protocolos para funcionamientos alternativos (por ejemplo, sustituir la presencialidad por el teletrabajo, y contar con la ‘nube’ para el acceso a aplicaciones o información), o reacción inicial ante un incidente (probada con simulacros periódicos), son también factores clave para la optimización de estas métricas, que pasan por una amplia labor de concienciación e implicación de los profesionales de la empresa.
En el caso de incidentes de Ciberseguridad, es recomendable contar con un proveedor de servicios como Ciberso, que ayuda a las empresas a configurar estrategias globales de concienciación, prevención y respuesta ante posibles incidentes que, como hemos indicado, pueden suponer un claro riesgo para la supervivencia de las compañías.