Cuando un ataque informático tumba tu página web o un incendio deja sin operación tu data center, la pregunta no es si tu empresa va a sufrir, sino cuánto tiempo puede aguantar antes de quebrar. Ahí entra el plan de continuidad de negocio (BCP), un documento que define cómo seguir entregando servicios a tus clientes en niveles aceptables cuando ocurre un incidente disruptivo.

Si trabajas en seguridad de la información, gestionas riesgos en tu empresa o lideras operaciones críticas, entender cómo se construye un BCP te permite proteger la cadena de valor antes de que el desastre llegue.

¿Qué es la continuidad de negocio y por qué importa?

La continuidad de negocio es la capacidad de una organización de seguir operando y entregando productos o servicios según niveles aceptables previamente definidos, incluso cuando ocurre un incidente disruptivo.

Piensa en una empresa que sufre un ataque informático y deja indisponible su página principal. Un nivel aceptable puede ser que, aunque el home no cargue, el login de un servicio crítico siga funcionando para los usuarios. Eso es continuidad de negocio en acción.

¿Qué es un BCP? Es el documento que recopila toda la información necesaria para que tu empresa mantenga la continuidad de negocio cuando ocurra un incidente. No es teoría, es la guía operativa que se activa el día del problema.

¿Cómo se hace un análisis de impacto de negocio (BIA)?

El primer paso para construir tu BCP es el Business Impact Analysis o BIA. Aquí identificas qué procesos sostienen el valor de tu empresa y qué pasaría si dejan de funcionar.

Estos son los pasos que debes seguir:

• Identificar las principales funciones de negocio, es decir, los procesos que entregan valor al cliente y definen tu empresa.
• Definir el RTO (tiempo máximo que puedes estar sin operar) y el RPO (cantidad máxima de información que puedes perder).
• Listar los recursos necesarios por cada función: servidores, inventario, personas, plataformas.
• Estimar el impacto financiero, operacional y legal si esa función deja de entregar valor.

¿Cómo se ve el impacto en un e-commerce?

Imagina una tienda online que vende productos por su página web. El impacto financiero es el promedio de ventas que dejas de hacer mientras la plataforma no funciona. El impacto operacional afecta envíos, pedidos atrasados y la cadena de valor incluso después de recuperar la operación. Y el impacto legal aparece cuando estás en una industria crítica con normativas que imponen multas si no cumples mínimos.

Una versión simplificada del BIA es una tabla con columnas para cada incidente posible y filas que muestran: función afectada, pérdidas operacionales, pérdidas financieras y tiempo aceptable para volver a la normalidad.

¿Cómo analizar los riesgos de tu empresa?

Después del BIA viene el análisis de riesgos. Aquí identificas amenazas, vulnerabilidades y los riesgos que enfrenta tu información.

Por cada amenaza evalúas dos variables en escala baja, media o alta:

• Probabilidad: ¿qué tan factible es que ocurra?
• Impacto: ¿qué tanto disrumpiría tu negocio en lo financiero, operacional o legal?

Un incendio en tu data center, por ejemplo, puede tener probabilidad baja pero impacto alto, porque interrumpiría toda la operación. Cruzas ambas variables en una matriz y priorizas los riesgos que combinan mayor probabilidad con mayor impacto.

¿Cómo se clasifican las amenazas?

Las amenazas suelen agruparse en tres categorías:

• Naturales: terremotos, incendios, inundaciones.
• Causadas por humanos: ataques informáticos, sabotajes, errores.
• Fallas de infraestructura: servidores caídos, cortes de energía, fallos de red.

Después identificas qué controles aplicar para mitigar cada riesgo y cuánto cuesta cada control. La tabla final incluye categoría, descripción, consecuencias, probabilidad, impacto, riesgo total, plan de modificación, owner responsable y riesgo residual.

¿Qué es el riesgo residual? Es el nivel de riesgo que queda después de aplicar el control. Si mitigarlo cuesta más que el daño que causaría, la empresa puede decidir asumirlo en lugar de invertir en evitarlo.

La regla básica: el costo de mitigar un riesgo nunca debería superar el costo de que el riesgo ocurra.

¿Qué incluye un plan de recuperación?

Con el BIA y el análisis de riesgos listos, construyes el plan de recuperación. Es la guía con pasos e información que activa la respuesta cuando algo falla.

El plan define:

• Eventos desencadenantes: ataques cibernéticos, terremotos, incendios u otros.
• Equipo responsable según el tipo de incidente, porque no atiende lo mismo un equipo de ciberseguridad que uno de desastres naturales.
• Plan de recuperación de incidentes específico por riesgo.
• Lista de contactos del equipo responsable y de quienes toman decisiones críticas, incluida la junta directiva si el caso escala.

¿Qué es el DRP o plan de recuperación de desastres?

El Disaster Recovery Plan (DRP) es la pieza más operativa del plan de recuperación. Incluye:

• Un inventario de la infraestructura vital: servidores, dispositivos y personas encargadas de los sistemas.
• Un manual paso a paso para restablecer cada servicio, tan claro que cualquiera con los conocimientos mínimos pueda ejecutarlo.
• Operaciones manuales que mantienen el negocio mientras se recupera el sistema. Si se cae el POS de una tienda física, puedes generar facturas a mano y consultar precios en otro lugar para no detener las ventas.

¿Por qué hay que probar y mantener el plan?

Un BCP guardado en un cajón no sirve. Necesita pruebas regulares, simulacros y entrenamiento del personal para que sepan dónde están los manuales, qué pasos seguir y a quién escalar.

Además, el plan se actualiza de forma constante porque siempre aparecen nuevas amenazas y nuevos controles que cambian los pasos definidos. Sin mantenimiento, el plan envejece y deja de proteger lo que prometía proteger.

¿Ya tienes identificadas las funciones críticas de tu empresa? Cuéntame en los comentarios cuál sería la primera que protegerías con un BCP.