Una rápida y sencilla introducción al BCP y DRP
Cuando las cosas van mal y se presentan situaciones extremas que ponen a prueba la vida de una empresa es importante contar con un plan B para mantenerte a flote.
Esto es algo que la ISO 27001 conoce perfectamente, puesto que entiende las consecuencias que involucra la interrupción de actividades. Por este motivo, el plan de continuidad del negocio es un requisito importante para cumplir con la normativa, ya que, si bien, busca proteger toda la información en un escenario utópico, también entiende que lo utópico es irreal, y nunca está de más tener una llanta o rueda de auxilio en tu coche.
Para una startup, esto cobra mayor importancia cuando el negocio comienza a crecer. ¿Por qué? Porque se dan cuenta a mitad del camino de que su coche funciona bien en la carretera, pero un simple clavo puede dejarlos completamente parados.
Es decir, tener una estrategia improvisada, o carecer de ella completamente, podría ralentizar la recuperación de las actividades y generar pérdidas para el negocio.
Si bien, no se pueden evitar todos los peores escenarios posibles, sí puedes prepararte para manejar las consecuencias de esos escenarios y asegurar la continuidad de las operaciones de la mejor manera posible.
¿Qué es un plan de continuidad del negocio (BCP)?
También conocido como Business Continuity Plan (BCP) es un documento que describe los procedimientos que una empresa debe seguir para reanudar sus actividades críticas en caso de una interrupción (como caída de servidores cloud, fallos en la infraestructura, catástrofe natural, etc.).
Es decir, es como un plan B donde defines cómo deben actuar las áreas de la empresa para recuperarse de un incidente y continuar con las operaciones que mantienen a flote el negocio.
Ahora bien, no debes confundir el BCP con el DRP (el plan de recuperación ante desastres). Son planes diferentes, pero no te preocupes, te explicaremos la diferencia más adelante.
¿Para qué sirve un plan de continuidad del negocio?
En ocasiones, el BCP se convierte en el seguro más económico que una empresa puede tener, sobre todo para las startups que no siempre cuentan con un presupuesto para la seguridad. Algunos de sus beneficios más importantes son:
- Prevenir y minimizar las pérdidas para el negocio en caso de un desastre.
- Dar visibilidad de los riesgos que podrían impactar en el negocio (y en sus operaciones).
- Organizar y priorizar la recuperación de las áreas.
- Medir posibles pérdidas generadas por la inactividad.
Por otro lado, el BCP es un documento muy solicitado por las áreas de riesgo y auditoría de los clientes porque es clave para cualquier proyecto de seguridad de la información. Si sueñas firmar contrato con un corporativo, necesitarás de él.
Antes del plan de continuidad…
El plan de continuidad del negocio siempre debe estar acompañado de una política de continuidad del negocio. ¿Cuál es la diferencia?
La política es donde debes detallar las intenciones o deseos que tiene la empresa por lograr algo, en este caso, lograr la continuidad.
El plan contiene los procedimientos y acciones para llevar a cabo esas intenciones.
Si bien en este artículo no nos centraremos en la política, debes saber que es necesario definirla previamente al plan para:
- Reconocer los procesos críticos de la empresa (es decir, aquellos que generen ingreso de dinero a la empresa o sean fundamentales para el desarrollo del negocio).
- Reconocer los riesgos asociados a estos procesos.
- Determinar cómo se capacitará al personal para la activación del plan.
- Reconocer al equipo capacitado que accionará durante las incidencias.
- Definir tiempos para probar la eficiencia del plan.
Hackmetrix Insight: Si te estás certificando en ISO 27001, te pedirán evidencia de lo que dices hacer en tu política. Esa evidencia es el plan de continuidad.
¿En qué consiste el plan de continuidad del negocio (BCP)?
Debes saber que el plan de continuidad del negocio incluye la elaboración de:
- Plan de recuperación ante desastres (DRP)
- Métricas de recuperación (RTO y RPO)
Plan de recuperación ante desastres (DRP)
En primer lugar, diferenciemos el BCP del DRP.
El DRP (Disaster Recovery Plan) es un plan muy similar al BCP, la diferencia es que se enfoca en recuperar únicamente las actividades del área TI. Está considerado dentro del BCP.
El BCP, en cambio, contempla procedimientos de recuperación para todas las áreas y procesos de una empresa.
Métricas de recuperación (RTO y RPO)
El RTO y RPO son dos métricas esenciales para este plan porque te permiten conocer tu rendimiento en términos de recuperación y, por otro lado, trabajar para que la pérdida provocada por la interrupción sea la menor posible.
- RPO (Recovery Point Objective) es el tiempo máximo aceptable que puede transcurrir entre el momento en que se realizó la última copia de seguridad de los datos y un incidente.
En general se busca que este tiempo sea ínfimo, aunque eso implica realizar una mayor cantidad de backups y por ende asumir más costos con tu proveedor de nube. Puedes establecer, por ejemplo, que el tiempo máximo de pérdida de datos sea igual a tu SLA (Acuerdo de Nivel de servicio): por ejemplo, 24 hs.
- RTO (Recovery Time Objective) es el tiempo que un negocio necesita para recuperar sus sistemas después de la inactividad producida por un incidente.
Para conocer el RTO será necesario conocer el tiempo de restauración que tengas con tu proveedor de nube y cuánto demoras en levantar los servicios caídos. Habitualmente, suele darse entre 4 y 8 horas dependiendo de la complejidad de lo instalado.
En resumen, mientras que el RPO se refiere a la pérdida real de datos entre la copia de seguridad y un incidente, el RTO se refiere al tiempo que lleva solucionar el incidente. El RTO y el RPO siempre debieran ser inferiores al valor del SLA. |
Conclusión
El plan de continuidad del negocio es una guía que te permite reanudar las actividades críticas de la empresa luego de una interrupción (así sea por un accidente, catástrofe natural, caída de servidores cloud, fallas en la infraestructura, etc.). Contempla procedimientos de recuperación para actividades de toda índole en una empresa.
Su mayor beneficio, además de organizar y priorizar la recuperación de las áreas, es minimizar el impacto de esa interrupción sobre el negocio.
El BCP es un documento clave para cualquier proyecto de seguridad porque ayuda a cualquier empresa, independientemente de su tamaño e industria, a sobrevivir aún en situaciones extremas.
Si hay otro documento que no entiendas o no sepas cómo crear, o si quieres saber cómo obtener más plantillas de políticas de seguridad, contáctanos para ayudarte.