Plan de continuidad del negocio (o sus siglas en inglés BCP, por Business Continuity

Plan)
Es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas
parcialmente o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no
deseada o desastre. Las situaciones posibles incluyen desde incidentes locales (como incendios, terremotos,
inundaciones, tsunamis etc.), incidentes de carácter regional, nacional o internacional hasta incidentes
como pandemias, etc.

El Plan de continuidad del negocio (BCP) es el último eslabón de la cadena y se aplica únicamente para
proteger las aplicaciones que son vitales para la actividad de la empresa. A diferencia del BCP que protege
contra problemas de hardware, el DRP protege contra desastres exteriores.

Inicialmente las actividades de planificación y prevención estaban dirigidas hacia los operaciones informáticas,
que en la mayoría de los casos estaban centralizadas en el Departamento de Informática e incluso en un lugar
físico concreto. Sin embargo, con el paso del tiempo y la aparición de la informática distribuida, soportada en
medios informáticos y telemáticos extendidos en todas las áreas de la organización, esa actividad varió su
alcance y se llamó Business Continuity Planning, lo que podría traducirse como planificación de la continuidad
del negocio.

1. Fase de análisis y evaluación de riesgos

2. Selección de estrategias
3. Desarrollo del plan
4. Pruebas y mantenimiento del plan.

La continuidad del negocio es un concepto que pertenece a una disciplina superior denominada "Administración
de continuidad de negocios (BCM por sus siglas en inglés) y que abarca tanto el plan para la recuperación de
desastres (DRP), de naturaleza típicamente tecnológica, como el plan para el restablecimiento del negocio, que
normalmente se enfoca en los procesos críticos del mismo. Además, los planes de "Manejo de Crisis" y de
"administración de incidentes" suelen formar parte de la disciplina completa de BCM. Recuperación de desastres
es la capacidad para responder a una interrupción de los servicios tecnológicos mediante la implementación de
un plan para restablecer las funciones críticas de la organización. Ambos se diferencian de la planeación de
prevención de pérdidas, la cuál implica la calendarización de actividades como respaldo de sistemas,
autenticación y autorización (seguridad), revisión de virus y monitoreo de la utilización de sistemas
(principalmente para verificaciones de capacidad).

Este plan es la respuesta prevista por la empresa ante aquellas situaciones de riesgo que le pueden afectar de
forma crítica, es decir, impidiendo la operación tecnológica que soporta los procesos de negocio más
importantes. No importa el tamaño de la empresa o el coste de las medidas de seguridad implantadas, toda
organización necesita un Plan de recuperación de desastres o uno de continuidad de negocio, ya que tarde o
temprano se encontrara con una incidencia de seguridad o algún evento que detenga súbitamente la operación
de una empresa.
Lo primero que se debe realizar es un análisis del impacto al negocio (BIA). Éste es básicamente un informe que
nos muestra el coste ocasionado por la interrupción de los procesos críticos de negocio.
Una vez obtenido este informe, la compañía tiene la capacidad de clasificar los procesos de negocio en función
de su criticidad y lo que es más importante: establecer la prioridad de recuperación (o su orden secuencial).
Una estrategia de Recuperación es una combinación de medidas preventivas, detectivas y correctivas para:

 Eliminar la amenaza completamente

 Minimizar la probabilidad de que ocurra
 Minimizar el efecto
El Plan de recuperación ante desastres (DRP - Disaster Recovery Plan) y el Plan de
continuidad del negocio (BCP - Business Continuity Plan) están diseñados ante un eventual desastre con el
sistema informático. Ante una contingencia con el sistema informático, es necesario garantizar la protección de
los datos. El desarrollo de este plan, le permitirá anticipar los riesgos a los que está expuesto su sistema
informático en caso de desastres. El plan de recuperación le permite conocer el equipo y el rol de cada uno de
los que están a cargo del plan de recuperación, así como la lista de procedimientos a seguir.

1- Pensar en el desastre

Es la primera etapa en la concepción de un Plan de recuperación ante desastres (DRP). Aquí es necesario
imaginar lo inimaginable, como un incendio por ejemplo, para poder imaginar un escenario de recuperación.

2- Un punto esencial en la implementación de un DRP tiene que ver con La gestión humana del riesgo.
¿Quién hace qué en caso de problemas? ¿Cuál es la responsabilidad de cada uno? A menudo no será el
Gerente General ni el Director de sistemas de información que intervendrán en caso de urgencia para controlar
la crisis. Las personas deberán ser seleccionadas con anticipación en la empresa. Esto permitirá ganar tiempo
en caso de problemas.

3- Definir las prioridades, las técnicas y el coste

Se debe llegar a considerar que la indisponibilidad puede ser autorizada, en función del grado de criticidad de
los datos de la actividad y de los datos técnicos. A partir de ahí y solamente a partir de esta toma de conciencia,
se podrá calcular y a menudo negociar un coste de implementación. Por ejemplo, si el respaldo de los datos y la
recuperación de las actividades deben efectuarse en menos de un minuto

4- Elegir el equipo de crisis adaptado

Algunos DRP prevén la construcción de instalaciones en un lugar distante, que tomará el control en caso de
desastre en las instalaciones principales. En este caso, el equipo de reemplazo deberá estar siempre listo para
ser empleado, y además ser adaptado a esta situación de crisis, que en la mayoría de casos, dura poco tiempo.
El rendimiento del sistema de información disminuirá, pero deberá permitir garantizar la continuidad de la
actividad mientras todo se solucione.

Ciber Resiliencia, (que no es más que la ¨habilidad para prevenir, detectar y corregir
cualquier impacto que los incidentes de ciberseguridad tienen sobre la información
requerida para hacer negocio¨

“ciber-resiliencia” consiste en la administración de las amenazas virtuales de modo tal que sea posible
gestionar de manera efectiva los ataques cibernéticos. Sin embargo, este concepto no se encarga de la
eliminación de la amenaza ya que su eliminación no sólo es imposible, sino que impide la agilidad; un
entorno con un nivel aceptable de riesgo admite innovación.
GESTIÓN DE CONTINUIDAD DEL NEGOCIO (BCM)

Está definida como el “proceso integral de gestión que identifica las amenazas potenciales
que pueden poner en riesgo la continuidad de la organización y el impacto que pueden
causar en los procesos del negocio y proporciona el marco para la construcción de la
resiliencia con la capacidad para una respuesta defectiva que salvaguarde los intereses, la
reputación, la marca y el valor de las actividades”.

El concepto de continuidad del negocio nace a finales de los años 60, en Estados Unidos e
inicialmente solo en el ámbito de la información para la administración de procesos de
forma adecuada y consistente.

En los años 90 con el desarrollo de los sistemas computacionales mas modernos, se tomo el
concepto de recuperación operacional y solo se recuperaba información, el término de
continuidad de negocio comienza a ser usado en diferentes países que lo implementaron,
pero solo en Estados Unidos se crean Normas regulatorias relacionadas hasta la fecha.

En la actualidad el concepto de continuidad de negocio es aplicado a toda la organización,

es un concepto global, que incorpora toda la cadena logística, es decir desde el cliente hasta
el proveedor de insumos.

Ventajas de un BCM

Administrar la continuidad del negocio. • Resistencia del negocio ante interrupciones. •

Detectar los aspectos vulnerables y las posibles causas. • Protege y asegura la imagen de la
empresa. • Abre nuevas oportunidades de mercado y ayuda a ganar nuevos negocios. •
Aumenta la disponibilidad del negocio

es importante: • Definir un comité responsable del plan • Asignar responsabilidades por

cada equipo de trabajo • Indicar las actividades de cada una de las fases del proyecto •
Documentar los procesos • Presentar los avances • Obtener la aprobación por parte de los
directivos.

Análisis Impacto en el Negocio. (Business Impact Analisys BIA) El objetivo de un Análisis de

Impacto del Negocio es identificar las actividades de misión crítica de una organización, sus
dependencias y sus puntos de fallas así como analizar el impacto y el efecto que se
generaría en caso de la perdida e interrupción de las actividades de misión crítica. A su vez,
informar y permitir opciones para crear una resistencia en las operaciones de negocio de la
organización. Sin embargo, la clave para realizar un Análisis de Impacto del Negocio es
analizar el negocio como un todo más no como componentes, procesos o funciones
individuales.