Plan de Continuidad de Negocios: qué es y por qué lo necesitas
Imagínate, en aquel agradable mundo prepandémico, que tú, como director de una pequeña empresa instalada en una simple oficina alquilada, eres notificado a las 5 de la mañana por el responsable del edificio sobre una fuga grave en la tubería de agua del edificio. Debido a este problema, el síndico señala que tu equipo posiblemente no podrá trabajar allí hasta que se resuelva el problema.
Peor aún: imagina que la escorrentía es tan grande que termina creando una inundación que afecta tu piso, y el agua daña tus computadoras, impresoras y otros dispositivos de trabajo. En ambos casos, si no estuvieras preparado para dicho problema, tu empresa no podría trabajar normalmente, ya sea por motivos de “Indisponibilidad del lugar de trabajo” o “Indisponibilidad de infraestructura de TI”.
Imaginar este escenario es la forma más sencilla y rápida de comprender qué es un Plan de Continuidad Comercial y por qué es tan importante. Se trata de una estrategia, presentada y documentada por escrito, que establece pautas, reglas y procedimientos a adoptar en caso de que un desastre o incidente afecte el normal funcionamiento de tu empresa.
Como ya te habrás dado cuenta, asegurar la continuidad del negocio es un objetivo que va mucho más allá de la ciberseguridad: las operaciones de una empresa pueden verse afectadas por una serie de motivos, entre ellos desastres naturales (lluvias intensas que impiden la movilidad de tus empleados, por ejemplo), cortes de energía e incluso pandemias, como la que estamos viviendo con el nuevo coronavirus (SARS-CoV2).
¿Qué pasa con la seguridad de la información?
Es importante recordar, antes de continuar, que la Disponibilidad es uno de los tres pilares principales de la seguridad de la información (junto con la Confidencialidad y la Integridad). Esto significa que la información necesaria para el ejercicio de tu core business — es decir, la actividad principal de tu empresa — debe estar siempre disponible para aquellos que son responsables de accederla, operarla o procesarla.
Y es precisamente por eso que el Plan de Continuidad de Negocio debe existir en estrecho diálogo con cualquier Política de Seguridad de la Información. En los últimos meses, lo que más hemos visto son casos de empresas enteras paralizadas por ataques de ransomware, códigos maliciosos que “secuestran” máquinas corporativas, bloquean su contenido y solo las liberan después de pagar un rescate en efectivo.
Si crees que esto solo ocurre con las pequeñas empresas, vale la pena recordar que multinacionales de diferentes ramas — desde fábricas de automóviles hasta grupos de generación y distribución de electricidad — padecieron este problema en 2020. Incluso el Supremo Tribunal de Justicia (STJ) se vio obligado a cancelar todas las audiencias durante una semana, mientras restauraba las copias de seguridad de sus servidores, afectados por RansomEXX.
Por supuesto, la pandemia en sí también ha creado problemas en este sentido, ya que los ejecutivos se rompen la cabeza sobre cómo ofrecer acceso seguro a los empleados que trabajan de forma remota. Y el ransomware no es el único tipo de malware que puede causar interrupciones en el flujo de trabajo: cualquier incidente que resulte en la pérdida de información puede retrasar sus operaciones, afectando el pilar de “Integridad”.
Cuando es necesario remediar
Son por dichas razones que necesitas un Plan de Continuidad de Negocio con procedimientos muy específicos que tomen en cuenta el análisis de riesgos (¿qué puede pasar con tus activos de información?), el análisis de impacto (¿de qué manera la eventual pérdida o inaccesibilidad de dichos activos puede tener impacto sobre tu operación?) y planificación estratégica (¿qué acciones y actitudes deberían tomarse?).
El objetivo aquí es minimizar las pérdidas morales o económicas que horas, días o semanas de una operación afectada por un incidente de seguridad pueden generar a tu empresa, transponiendo las crisis de la manera más ágil posible y asegurando que tu equipo de trabajo sea capaz de seguir entregando el mínimo necesario para mantener tu negocio activo.
Esto incluye el uso de copias de seguridad, la adopción de redundancia para sistemas críticos e incluso procedimientos de investigación sobre incidentes para identificar las razones por las que ocurrió (y cómo podemos evitar que esto vuelva a suceder en el futuro). No es fácil pensar en los peores escenarios a los que puedes enfrentarte, pues es mejor prevenir que remediar — sin embargo, si la prevención no ha funcionado, se debe saber de antemano qué medicamento usar.