Blog
dark mode light mode Search Archivos descargables
Search
Popular tags
The Latest
View All
6 min read
Share 0
Share 0
share this

6 pasos para armar un plan de continuidad del negocio (BCP) para tu startup

Adriel Araujo
CEO
plan de continuidad del negocio

Guía paso a paso + una plantilla para ahorrar tiempo

Si llegaste hasta aquí buscando cómo armar tu plan de continuidad del negocio, probablemente ya sabes que es un documento obligatorio para cumplir con ISO 27001 y otras normativas de seguridad. 

Y si has buscado en Internet, seguro has encontrado 20 maneras distintas de crear un BCP. Así es, estás en la temida experiencia de armar otro documento desconocido para tu startup.

Pero tranquilo, crear un plan de continuidad del negocio es en realidad más sencillo de lo que imaginas. En este artículo te guiaremos paso a paso y con ejemplos para que puedas crear tu BCP sin contratiempos. 

Puedes descargar tu propia copia de plantilla y volver aquí para completarla a la par.

1. Definir plan de continuidad del negocio

El Plan de Continuidad del Negocio (BCP) es un documento que establece cómo una empresa se preparará y actuará ante incidentes o interrupciones que afecten su operación.

Sirve para asegurar que la organización pueda seguir funcionando, recuperarse rápidamente y minimizar el impacto en sus servicios, clientes y recursos críticos cuando ocurra una contingencia.

🎥 Tutorial: Crea tu BCP paso a paso

2. Definir los participantes del plan

Los principales participantes del plan de continuidad son el Comité de Crisis y el Equipo de Continuidad. Por lo general, ya se los menciona en la política, sin embargo es aquí donde se designan formalmente a las personas que integrarán cada grupo.

El Comité de Crisis es el grupo de personas responsable de activar o no activar el plan en caso de una interrupción o desastre. Suele estar conformado por una o dos personas de la alta dirección, dos del área de tecnología, una de recursos humanos y quizás alguien del área financiera. Como lo notarás, suelen ser miembros de la primera o segunda línea de mando.

El Equipo de Continuidad es el responsable operacional, es decir, el encargado de ejecutar los procedimientos descritos en el plan. Este equipo es designado por el Comité de Crisis y generalmente lo conforman líderes técnicos y/o analistas senior. 

Una vez que definas quienes serán los miembros de cada grupo es fundamental que describas los datos de contacto de cada uno, ya que el BCP es el único plan que contiene nombres, apellidos, e-mail y números de teléfono. Así te aseguras de que cualquier colaborador pueda contactarlos fácilmente ante cualquier incidencia.

3. Crear las estrategias de recuperación

Una estrategia de recuperación es una alternativa o plan B para asegurar la disponibilidad de un recurso crítico ante cualquier incidente. Por ejemplo, si queremos asegurar la disponibilidad de los archivos en la nube, la estrategia será realizar copias de seguridad cada 24 hs.

Lo recomendable es elaborar varias estrategias para distintos escenarios de incidentes. Así podrás asegurarte de recuperar los recursos de tu negocio en cualquier situación.

Ejemplos de escenarios comunes:

  • Indisponibilidad del sistema operativo o base de datos
  • Falla eléctrica prolongada
  • Caída de internet por región
  • Inaccesibilidad del proveedor cloud
  • Ausencia de personal crítico
  • Desastres naturales o siniestros

Por ejemplo:

Estrategia ante indisponibilidad del personal crítico

  1. Capacitar al equipo mediante webinars técnicos abiertos.
  2. Rotar periódicamente roles de soporte.
  3. Contar con reemplazos internos y contrataciones extraordinarias.

Procedimiento asociado

  1. Contratar personal temporal con aprobación de gerencia.
  2. Identificar áreas afectadas y notificar a RR.HH.
  3. Publicar ofertas en los canales definidos.

Hackmetrix Insight

Las estrategias deben estar pensadas para cumplir con las métricas RPO (Recovery Point Objetive) y RTO (Recovery Time Objective) definidas en la política de continuidad. 

Por ejemplo, si se definió que la métrica RPO es de 6 horas, entonces no puedes establecer backups cada 24 hs. 

4. Elaborar los procedimientos para las estrategias

Ya tienes las estrategias. Ahora es momento de describir paso a paso cómo se actuará en cada escenario para recuperar tus recursos críticos. 

Veamos un ejemplo con el recurso Personal con responsabilidades en actividades críticas:

Estrategia de recuperación ante indisponibilidad total del personal
1. Formación por medio de webinars internos con aspectos técnicos, abiertos a toda el área de Tecnología.
2. Rotación constante de encargados de dar soporte a clientes ante incidencias.
3. Posibilidad de hacer coberturas de indisponibilidad internas. Un rol funcional o más podrían asumir diversas tareas de las que no tiene disponibilidad de personal.
4. Contrataciones extraordinarias.

Procedimiento de recuperación ante la indisponibilidad total del personal
1. Levantar requerimientos de personal según área y enviarlos al área de RR.HH.
2. Publicar ofertas de empleo en [canales definidos] para reclutar nuevos candidatos o bien buscar un reemplazo interino.
3. Realizar una contratación extraordinaria que facilite la velocidad de aprobación o rechazo del candidato por parte de la alta gerencia.

El Comité debe elegir las estrategias y procedimientos que se pondrán en marcha en caso de presentarse un desastre.

5. Pruebas, revisión y mantenimiento

El plan de continuidad debe actualizarse anualmente o cuando ocurran cambios significativos en los recursos críticos (como cambio de proveedor, en la infraestructura, etc.)

Por otro lado, debes planificar pruebas anuales para comprobar la eficacia y eficiencia del BCP. Los resultados deben documentarse en un informe (llamado el Informe de Resultados de las Pruebas de Continuidad) el cual el Comité y la alta dirección deben revisar y aprobar.

Ten en cuenta que el Informe es completamente confidencial. Por lo tanto, cuando un auditor de seguridad de la información te lo solicite debes presentar únicamente: la fecha de la prueba, participantes, metodología, resultado final y aprobación (del Comité y de la alta dirección).

Control documental y versionado

Cada vez que actualices el plan, deja registro en una tabla de versionado. Esto demuestra trazabilidad y orden en las revisiones, algo esencial para las auditorías.

De esta forma, garantizas que tu plan siempre esté actualizado, controlado y con evidencia formal de sus cambios.

Hackmetrix Insight: las pruebas anuales son obligatorias porque son evidencia del mantenimiento y mejora continua del plan.

6. Concientización

Es recomendable crear una cultura de concientización para que todos los empleados conozcan los pasos a seguir, se apropien de la situación y entiendan cuál será su rol dentro del plan. 

De esta forma, si el incidente llega a un junior o a una persona que no tiene conocimiento del plan, puede informar la situación a un líder o miembro del Comité. 

Para generar concientización, recomendamos realizar pequeñas capacitaciones o enviar comunicados mediante e-mail con indicaciones de cómo actuar frente a un incidente. También, se puede armar un pequeño documento con secciones del BCP que indiquen estos pasos.

Cómo el plan de continuidad del negocio (BCP) ayuda a cumplir múltiples normativas

El plan de continuidad del negocio te ayuda a cumplir con distintos puntos de otras normativas como PCI DSS, ISO 27001, SOC 2, HIPAA o incluso la regulación chilena de la RAN 20-10.

Sobre el Análisis de Impacto del Negocio (BIA) 

Por último, debes saber que algunas empresas realizan un Análisis de Impacto del Negocio (BIA o Business Impact Analysis) de forma previa al BCP.

El Análisis BIA (Business Impact Analysis) es utilizado para estimar la afectación que puede padecer una empresa como resultado de un incidente o desastre.

Permite a las empresas realizar una estimación de la magnitud del impacto operacional y financiero asociado a la interrupción, sin embargo si tu objetivo es cumplir con ISO 27001, no es necesario elaborarlo. Si, por el contrario, tu objetivo es demostrar tu seguridad a un cliente corporativo, sí te recomendamos tenerlo ya que te puede ser solicitado en sus cuestionarios de ciberseguridad.

Es obligatorio si deseas cumplir, por ejemplo, con la RAN 20-9 de la CMF Chile o la CNBV  (Anexo 2) de México.

Conclusión

El BCP es un documento clave que te solicitarán tanto clientes como reguladores para verificar cómo gestionas la continuidad de tu negocio. 

En este plan se define cómo actuará tu empresa para recuperarse y continuar con las actividades críticas en caso de una interrupción. Actúa como un seguro para las startups y las medianas empresas, porque previene y minimiza las pérdidas en caso de interrupción. 

En definitiva es una herramienta en la que debes elaborar estrategias que te permitan recuperar los recursos críticos de posibles escenarios de incidencias.

Si estás implementando ISO 27001, esta guía y la plantilla descargable te ahorrarán el tiempo y esfuerzo en crear tu BCP desde cero.

Si tienes dudas con este documento o quieres conocer más sobre el cómo podemos ayudarte, contáctanos para que podamos guiarte.

Índice

1. Mantén la calma: Esto es la ISO 27001
2. ¿Mi startup debería cumplir con ISO 27001?
3. Cómo prepararte para la auditoría de certificación en ISO 27001 
4. 7 beneficios de invertir en ISO 27001
5. Guía para implementar la ISO 27001
6. Creando un inventario en 4 sencillos pasos
7. Matriz de control de accesos: Qué es y cómo hacerla paso a paso

8. Plan de continuidad del negocio (BCP): Qué es y en qué consiste
9. 6 pasos para armar un plan de continuidad del negocio (BCP)
10. Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]
11. Cómo hacer un descriptivo de roles y responsabilidades
12. Cómo hacer tu política de seguridad de la información

Share
Share
CEO Adriel Araujo 243 posts
www.hackmetrix.com
X (Twitter)