PLAN DE CONTINUIDAD DE NEGOCIO

Victor-Altimira    Artículo de Víctor ALTIMIRA, Socio-Abogado

La información de que dispone una empresa es uno de sus mayores activos y, por tanto, debe estar totalmente protegida. Puede ocurrir que esta información desaparezca por causas inesperadas, como por ejemplo un incendio, una inundación, un robo, etc.

Debemos pensar que, actualmente, la mayoría de nuestros negocios giran en torno a las nuevas tecnologías, y un incidente de unas pocas horas puede llegar a causar una gran pérdida económica. Todos tenemos en mente grandes catástrofes que han provocado enormes pérdidas, e incluso la desaparición de empresas. Pensemos en el incendio del Edificio Windsor de Madrid, el huracán Katrina en Nueva Orleans (EEUU), o los atentados del 11 de septiembre en Nueva York.

Pero en la mayoría de las ocasiones no es necesario que se produzca un desastre de estas dimensiones para poner en serio peligro la supervivencia de la empresa. La simple entrada de un virus en nuestro sistema informático puede poner en jaque la continuidad de nuestro negocio si no se ha elaborado un plan específico para saber qué, cómo y cuándo actuar. Importante: dependiendo del cómo se gestione el incidente, las consecuencias pueden ser más o menos graves.

¿Se puede reiniciar la actividad en poco espacio de tiempo igual que antes de este infortunio?

Para prevenir esta situación se debe elaborar un Plan de Continuidad de Negocio (también llamado Disaster RecoveryPlan o Bussines Continuity Plan). Este plan es un instrumento de gestión que debe contener las medidas técnicas, humanas y organizativas para garantizar la continuidad de su negocio. El objetivo principal es desarrollar una estrategia que permita la continuidad del negocio de la forma más rápida y con el menor coste posible.

Este Plan de Continuidad de Negocio debe nacer de un análisis del riesgo de su negocio. Para ello nos debemos preguntar qué necesitamos proteger, de qué necesitamos protegerlo y cómo vamos a protegerlo. De esta manera, dando respuesta a estas preguntas, se pueden establecer las contramedidas para que estas amenazas se minimicen y, si es imposible, el poder atajarlas, establecer los mecanismos oportunos para que sus efectos sean los mínimos posibles.

Uno de los objetivos del Plan de Continuidad de Negocio es evitar, en la medida de lo posible, que se produzcan incidentes que hagan necesaria su ejecución. Para ello, la empresa debe conocer de antemano cuáles son sus riesgos y poner las medidas pertinentes para corregir el mayor número de debilidades que pueden provocar un grave incidente.

Las nuevas tecnologías, cuando funcionan, son la mejor aliada del empresario, ya que le permiten suministrar toda su información en un breve espacio de tiempo, e incluso en facilitarla al instante (como se da en una página web, por ejemplo); pero cuando las nuevas tecnologías no pueden funcionar por cualquier motivo, pueden ser su peor enemigo ya que un pequeño incidente, de pocas horas de duración, puede conllevar un lucro cesante en la empresa difícil de soportar y lo que puede ser peor, una mala imagen ante su clientes y/o clientes potenciales.

Un Plan de Continuidad de Negocio correcto se debe orientar al mantenimiento del negocio de la empresa; por tanto, debe priorizar las operaciones de negocio críticas necesarias para continuar en funcionamiento después de un incidente no previsto. Es por ello que en este Plan se deben contemplar diferentes fases en las que se han analizar, en primer lugar, todos los procesos de la empresa.  Así, de cada proceso, se deben identificar los impactos potenciales que amenazan la organización, estableciendo un plan que permita continuar con la actividad empresarial en caso de una interrupción no deseada.

Un Plan de Continuidad de Negocio debe reducir, tanto el número como la magnitud de las decisiones que se toman durante un período en el que las consecuencias pueden resultar mayores. Por lo tanto, el Plan debe implantar y organizar, de forma documentada, los riesgos, responsabilidades, procedimientos, políticas y acuerdos, tanto de forma interna como con entidades externas (si es que no disponemos de medios suficientes dentro de nuestra empresa).

Además, este Plan debe ser una declaración de intenciones que sirva para cubrir la seguridad de los sistemas de información de la empresa, y que proporcione las bases reguladoras para definir y delimitar responsabilidades para los distintos componentes de la organización y los mecanismos para controlar su correcto funcionamiento.

Dentro del Plan de Continuidad de Negocio se deben establecer los siguientes sub-planes:

  • Plan de respaldo (Apoyo): para impedir las amenazas en la medida de lo posible.
  • Plan de emergencia: sirve de desarrollo del Plan de respaldo, y trata de minimizar la amenaza desde el mismo momento en que ésta aparece o inmediatamente después.
  • Plan de recuperación: tratar de restablecer todo al estado en que se encontraba antes de que la amenaza apareciese. Este Plan debe apoyarse con ensayos y mantenimientos.

Es importante reseñar que el Plan de Continuidad de Negocio únicamente se debe activar cuando las medidas de seguridad hayan fallado en situaciones de emergencia.

No debemos dejarnos engañar por el tamaño de la empresa para decidir si debemos o no disponer de un Plan de Continuidad de Negocio. Sea cual sea su tamaño y actividad, ésta puede verse afectada por un accidente inesperado.

Las posibles consecuencias de no tener implantado un Plan de Continuidad de Negocio suelen ser:

  • Cierre de la empresa, al no poder continuar con las operaciones de forma inmediata o a corto plazo.
  • No recuperación de las pérdidas causadas por los daños ocasionados.
  • Pérdida de reputación ante los clientes y dejar de tenernos en consideración por parte de clientes potenciales.
  • Pérdida de competitividad frente a la competencia.

Por el contrario, los beneficios de disponer de un Plan de Continuidad de Negocio son:

  • Disminuye, o incluso previene, las pérdidas en caso de accidente.
  • Aumento de competitividad frente a la competencia.
  • Clasifica los activos de la empresa para poder priorizar su protección en caso de accidente.

Estos beneficios se dan porque tendremos claramente identificados todos los incidentes que pueden suceder y, al tenerlos reconocidos, podremos saber cuál sería su impacto a nivel humano, financiero y reputacional.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *