OTROS TITULARES
«La continuidad de negocio debe entenderse como un ciclo de vida continuo, no como un documento estático.»
«Un evento como un apagón generalizado expone de forma crítica múltiples vulnerabilidades, a menudo interconectadas.»
«El DRP es un componente fundamental del BCP, enfocado en la recuperación tecnológica necesaria para soportar la continuidad de los procesos de negocio.»
«La gran mayoría de organizaciones no prueban sus sistemas de respaldo bajo carga real, descubriendo los problemas solo durante un evento real.»
«La técnica por sí sola no basta: lo que marca la diferencia es haber hecho pruebas reales y contar con personal formado para estas situaciones.»
Índice de temas
¿Qué es un Plan de Continuidad de Negocio (PCN) y cuál es su principal objetivo en una organización?
Un Plan de Continuidad de Negocio (PCN) es un conjunto documentado de procedimientos y estrategias diseñadas para garantizar que las funciones críticas de negocio de una organización puedan continuar operando durante y después de un evento disruptivo, sea este grave o no. Incluye, habitualmente, personal, procesos, tecnología, logística, instalaciones y proveedores, y tiene un doble objetivo: por un lado, minimizar el impacto de la interrupción en todas sus dimensiones, ya sea financiera, operativa, reputacional, legal, etc., algo que también se conoce como planes de gestión de crisis, que, por decirlo de otro modo, es tratar de no llegar a la fase de continuidad real o a la parada total de las actividades. Y, por otro lado, busca asegurar la supervivencia y la resiliencia de la organización, permitiendo la reanudación de las operaciones críticas dentro de unos plazos y niveles predefinidos, conocidos como RTO, o Recovery Time Objective, y RPO, o Recovery Point Objective.
Esto sí sería continuidad de negocio, técnicamente hablando, lo que sucede si la gestión de crisis no lograr parar el incidente. En este sentido, la implementación de un software especializado como GlobalSuite permite no solo documentar estos planes, sino también automatizar el Análisis de Impacto en el Negocio (BIA) que los fundamenta, gestionar dinámicamente las estrategias de continuidad, centralizar toda la información y facilitar la activación y seguimiento coordinado durante una crisis real, asegurando que el plan sea un ente vivo y efectivo.
A raíz del reciente apagón, ¿qué tipo de vulnerabilidades suelen quedar más expuestas en las organizaciones?
Un evento como un apagón generalizado expone de forma crítica múltiples vulnerabilidades, a menudo interconectadas. En este caso concreto, la dependencia de la red eléctrica sería la vulnerabilidad más obvia, ya que fallos en Sistemas de Alimentación Ininterrumpida (SAI/UPS) o generadores, ya sea por falta de combustible, mantenimiento inadecuado o capacidad insuficiente, dejan inoperativos los centros de datos y las infraestructuras críticas. Además, las redes de voz y datos, tanto internas como externas, pueden verse afectadas si sus nodos o infraestructuras de soporte dependen de la energía eléctrica local sin respaldo adecuado, lo que afecta a las telecomunicaciones. En infraestructuras de IT vemos cómo, más allá de los servidores, elementos como la climatización de los centros de datos son vitales. Un fallo energético puede provocar sobrecalentamiento y daños en cascada. El apagón de abril provocó estos tres escenarios en cadena. Y hay más daños potenciales; por ejemplo, en los sistemas de control de acceso iluminación de emergencia, gestión del tráfico, sistemas de producción industrial, etc., que dependen directamente de la energía y suelen tener muy poca autonomía cuando se corta el suministro eléctrico.
Hay que tener en cuenta que la interrupción del suministro eléctrico no solo afecta a la organización directamente, sino también a proveedores clave o clientes que pueden quedar inoperativos, impactando la cadena de valor completa. Debido al apagón, también hubo afectación en esta línea. Por último, he de destacar que la gran mayoría de organizaciones no prueban sus sistemas de respaldo bajo carga real o durante periodos prolongados, descubriendo los problemas solo durante un evento real, como el apagón. Si las pruebas se hiciesen con más cercanía a la realidad de un incidente muy grave se descubrirían estos fallos y se podría actuar en consecuencia.
Soluciones como las que ofrecemos en GlobalSuite Solutions ayudan a identificar estas dependencias complejas a través del BIA y el análisis de riesgos, permitiendo visualizar cómo un fallo en un servicio básico como la electricidad puede impactar en múltiples procesos y activos críticos, y ayudar a evitar las graves consecuencias que tendrían.
¿Cuáles son los errores más comunes que cometen las empresas al diseñar o implementar un PCN?
Desde nuestra experiencia, observamos errores recurrentes como son la falta de compromiso de la alta dirección por considerar el PCN como un mero trámite o un coste, en lugar de una inversión estratégica, así como no adaptar el plan a la realidad específica de la organización o no mantenerlo vivo mediante revisiones y actualizaciones periódicas.
También hemos visto simulacros ‘de escritorio’ o muy parciales, en lugar de pruebas funcionales y realistas que validen las estrategias y tiempos de recuperación. Muchas empresas tampoco consideran adecuadamente las interdependencias entre procesos, sistemas, personal y terceros, lo que les muestra una panorámica errónea de la realidad, y tampoco establecen canales de comunicación alternativos y robustos para la gestión de la crisis, lo que dificulta su resolución. El personal, en muchas ocasiones, no conoce sus roles y responsabilidades dentro del plan, algo totalmente inoperativo en estas situaciones bajo presión.
Debemos entender la continuidad de negocio como un ciclo de vida continuo a través del análisis, diseño, implementación, prueba y mantenimiento, y no como un documento estático, por lo que la automatización con soluciones específicas mitiga muchos de estos errores, al estandarizar metodologías, programar revisiones y pruebas, gestionar versiones del plan, centralizar la comunicación y facilitar la gestión integral del ciclo de vida del PCN.
¿Qué diferencias clave existen entre un Plan de Continuidad de Negocio y un Plan de Recuperación ante Desastres (DRP)?
Aunque están relacionados y, a menudo, gestionados conjuntamente, tienen enfoques distintos. Por ejemplo, el Plan de Continuidad de Negocio tiene un enfoque estratégico y completo, y se centra en mantener las operaciones críticas del negocio funcionando durante y después de una interrupción, minimizando el impacto global del evento y cubriendo a personas, procesos, instalaciones, tecnología y proveedores. Por su parte, el Plan de Recuperación ante Desastres tiene un enfoque más táctico y tecnológico, y se centra en la recuperación de la infraestructura tecnológica y de los datos después de que un desastre los haya hecho inaccesibles. Es un enfoque más específico, centrado principalmente en IT y comunicaciones, incluyendo servidores, redes o aplicaciones, y su objetivo es restaurar los sistemas y datos en un sitio alternativo o en el original reparado, dentro de los RTO y RPO definidos por el BCP. En esencia, el DRP es un componente fundamental del BCP, enfocado en la recuperación tecnológica necesaria para soportar la continuidad de los procesos de negocio definidos en el BCP.
Nuestras soluciones permiten gestionar ambos tipos de planes de forma integrada, asegurando la coherencia y alineación entre las necesidades del negocio (BCP) y las capacidades de recuperación tecnológica (DRP).
En un contexto donde conviven sistemas heredados y tecnologías emergentes, ¿cómo se puede garantizar una respuesta coordinada ante una crisis?
La coexistencia de sistemas antiguos (legacy) y tecnologías emergentes (cloud, IoT, IA) incrementa la complejidad, pero la coordinación se puede lograr de varias formas. Podemos realizar un BIA exhaustivo que mapee todos los sistemas, sus interdependencias y cómo soportan los procesos críticos, independientemente de su tecnología subyacente, y diseñar sobre ellos estrategias de continuidad y recuperación específicas para cada tipo de tecnología, pero integradas bajo un marco de gestión de crisis unificado. También podemos utilizar una plataforma de gestión que actúe como centro de mando y control, permitiendo activar y seguir el progreso de diferentes planes de recuperación (on-premise, cloud, híbridos) de forma coordinada.
Además, hay que establecer protocolos y herramientas de comunicación de crisis que funcionen para todos los equipos involucrados, independientemente de los sistemas que gestionen, y realizar simulacros que deben incluir escenarios que afecten a ambos tipos de tecnologías simultáneamente para validar la coordinación y la efectividad de la respuesta integrada. En paralelo, es necesario asegurar que cualquier cambio en sistemas heredados o introducción de nuevas tecnologías se refleje inmediatamente en el BCP/DRP y sus dependencias asociadas. De ahí la pertinencia de soluciones que centralicen la información de activos, procesos, riesgos, planes y pruebas, ya que proporciona esa visibilidad y capacidad de orquestación necesarias para gestionar entornos tecnológicos heterogéneos durante una crisis.
En base a tu experiencia, ¿puede compartir un caso concreto donde un PCN haya marcado la diferencia durante un evento disruptivo?
Durante el apagón tuvimos un caso de éxito significativo con una empresa industrial de tamaño medio, pero de alta criticidad, que consiguió mantener el 100 % de operación todas las horas del incidente. La clave fue que tenían garantizada la energía gracias a grupos electrógenos probados y que disponían de conexiones a internet por satélite, que hoy en día ya no son tan caras.
Pero la técnica por sí sola no basta: ellos habían hecho pruebas reales y contaban con personal formado para estas situaciones, así que pudieron resolverlo con éxito. Además, y en este caso concreto, el uso de soluciones de GlobalSuite Solutions agilizó aún más la activación, proporcionado seguimiento en tiempo real del progreso de las tareas de recuperación y facilitado la generación de informes post-incidente para la mejora continua.
¿Qué sectores o tipos de organizaciones están mejor preparados y cuáles aún tienen un largo camino por recorrer en este ámbito?
Generalmente, observamos distintos niveles de madurez según el sector y el tamaño de la empresa. Los que más preparados están suelen estar en el sector financiero, incluyendo banca y seguros, ya que está altamente regulado y tiene estrictas exigencias de continuidad y resiliencia, ya que el impacto de una interrupción sería sistémico y severo. También las compañías de telecomunicaciones están bien preparadas por la esencialidad de la continuidad del servicio que prestan, así como la fuerte regulación a la que están sujetas. Y las compañías de salud, aunque la madurez puede variar, y grandes corporaciones multinacionales, que suelen tener recursos dedicados, mayor conciencia del riesgo y, generalmente, requerimientos de sus propios clientes o seguros.
Por el contrario, donde suele haber menos preparación es en pymes, ya que a veces carecen de recursos, tiempo y conocimientos especializados, y perciben el BCM como algo complejo o costoso, a pesar de que una interrupción puede resultar fatal para ellas. También las manufactureras e industrial, donde se suele poner el foco en la seguridad física, y en retail y hostelería, aunque la madurez varía mucho.
Llama la atención que, aunque mejora, también hay vulnerabilidades en el Sector Público, quizás por restricciones presupuestarias y la complejidad burocrática para la adopción de prácticas robustas de BCM. No obstante, la tendencia, acelerada por eventos recientes y regulaciones como DORA y NIS2 a nivel europeo, es hacia una mayor exigencia de resiliencia operacional en todos los sectores, y soluciones como las que ofrecemos democratizan el acceso a herramientas robustas de BCM, permitiendo que organizaciones de menor tamaño o con menos recursos puedan implementar y gestionar programas de continuidad eficaces, cerrando así la brecha de preparación.
