Mejores prácticas de continuidad comercial y recuperación ante desastres (BCDR) para 2023
Publicado: 2023-06-07La continuidad del negocio (BC), así como la recuperación ante desastres (DR), son prácticas que se refuerzan mutuamente y ayudan en la capacidad de una organización para continuar las actividades después de una interrupción, interrupción o crisis.
La continuidad del negocio y la recuperación ante desastres (BCDR) son más prominentes que nunca en 2023. Todas las empresas, desde negocios modestos hasta corporaciones multinacionales, dependen de las tecnologías digitales, lo que convierte a BCDR en un negocio imprescindible. Además, la pandemia ha demostrado con precisión cuánto daño podría causar a las economías una interrupción inesperada del negocio.
Sin embargo, el 14 % de las empresas no ha probado sus planes BCDR en seis meses a tres años, y la investigación sugiere que pocos son las mejores prácticas de continuidad comercial y recuperación ante desastres. Aquí están las 10 pautas que debe seguir:
1. Evaluar el riesgo asociado con diferentes componentes y realizar un análisis de impacto comercial (BIA)
El análisis de riesgos y BIA son herramientas esenciales para las organizaciones encargadas de crear una estrategia BCDR. El acto de identificar riesgos y amenazas internos y externos es crucial para la continuidad del negocio y la recuperación ante desastres. La investigación de riesgos descubre amenazas potenciales y su probabilidad de ocurrencia. Esta evaluación de riesgos es complementaria al BIA, que evalúa los posibles efectos de la interrupción.
Un BIA incluye análisis financiero, pero además tiene en cuenta los aspectos no fiscales de las interrupciones imprevistas. Además, la BIA determina los servicios de misión crítica que una empresa debe continuar realizando después de un incidente, así como los recursos necesarios para mantener esas funciones.
2. Determine CUÁNDO activar BCDR para obtener resultados óptimos
Antes de llamar desastre a una situación adversa y activar el plan BCDR, las empresas deben considerar múltiples variables. La duración anticipada de la interrupción, el impacto de la interrupción en la organización, la carga monetaria de activar el plan BCDR y el potencial de la estrategia BCDR para causar más interrupciones se encuentran entre las consideraciones más importantes.
Irónicamente, el acto de cambiar de la ubicación principal de una empresa a un centro secundario y luego regresar a la base principal de operaciones, después de un incidente, puede interrumpir significativamente los procesos. En consecuencia, el liderazgo de la empresa debe evaluar cuidadosamente cuándo implementar el plan BCDR. Por ejemplo, una organización puede determinar que una interrupción de seis horas no es suficiente para justificar una proclamación de desastre.
3. Esté preparado para abogar por cambios y actualizaciones en BCDR
Los desarrollos en el panorama de amenazas o el surgimiento de nuevas empresas comerciales podrían obligar a una empresa a aumentar su cobertura de BCDR. Este ha sido el caso con frecuencia en 2022-2023, a medida que las empresas regresan al trabajo en la oficina y salen a la luz nuevos riesgos.
Si los recursos necesarios para la estrategia extendida de BCDR y las tecnologías de recuperación no están incluidos en su presupuesto actual, es posible que deba buscar financiamiento adicional. Una propuesta de inversión debe basarse en lo siguiente:
- Desarrollar una propuesta comercial que destaque las ventajas de las competencias BCDR mejoradas
- Decidir si la estrategia BCDR actualizada tendrá un impacto en otros dominios, como la ciberseguridad.
- Obtención de financiación, incluida la evaluación de productos y servicios
- Creación de una solicitud de contratación con la documentación adecuada
Recuerde que debe establecer un equilibrio entre el gasto BCDR y las consecuencias económicas proyectadas de un escenario de desastre específico. No desea idear una solución que sea 10 veces más costosa que la crisis en sí misma.
4. Pruebe los planes de continuidad del negocio y recuperación ante desastres para detectar lagunas.
La capacitación teórica, los recorridos planificados y las simulaciones son formatos de prueba comunes. Por lo general, los equipos de prueba están formados por el supervisor de recuperación y los representantes de cada grupo funcional. Por lo general, un ejercicio de simulación se lleva a cabo en una sala de conferencias, con el equipo examinando el plan en busca de fallas y garantizando que todas las divisiones de la empresa estén representadas.
En un recorrido planificado, cada miembro del equipo examina exhaustivamente los componentes de su plan designado para identificar las debilidades. Con frecuencia, el equipo realiza la tarea con una catástrofe específica en mente. Algunas organizaciones incorporan dramatización de desastres y actividades asociadas en el recorrido planificado. Se debe abordar cualquier deficiencia y se debe enviar un plan revisado a todo el personal pertinente.
5. Doble su enfoque en la documentación
El plan de continuidad del negocio tiene que ser elaborado de acuerdo con los riesgos del negocio y los protocolos de recuperación ante desastres. Por ejemplo, el plan debe especificar qué deben hacer los miembros del personal en caso de una crisis, así como el plazo de entrega más estricto para el soporte de TI de misión crítica.
La identificación de sistemas críticos y la compilación de un inventario de aplicaciones clave también es crucial. Además, las organizaciones deben mantener un inventario de contactos externos, como financieros, especialistas en TI y trabajadores de servicios públicos. Como nos enseñó el brote de coronavirus, solo las empresas con un plan de continuidad comercial bien documentado tenían la capacidad de recuperarse rápidamente.
6. Determine su nivel único de resistencia al riesgo y el soporte de TI que requiere obligatoriamente
Dado que cada organización es única y distinta, debe evaluar los riesgos y desarrollar un plan de continuidad comercial individualizado. Por ejemplo, en el caso de un banco, solo unos segundos de retraso pueden resultar en millones de dólares en daños. Las instituciones de salud pueden correr el riesgo de atender a pacientes críticos si hay tiempo de inactividad.
Además, las opciones de recuperación de una empresa deben determinarse en función del sector en el que opera. RTO y RPO se encuentran entre los conceptos más vitales en este sentido. RPO u objetivo de punto de recuperación se refiere a la máxima pérdida de datos permitida durante un período de tiempo. RTO o Recovery Time Objective es el tiempo que transcurre entre una interrupción y una reanudación de los procesos.
Puede elegir las alternativas DR adecuadas junto con las tecnologías de recuperación seleccionando el RPO y el RTO apropiados en función de las reglas y pautas comerciales de su empresa.
7. Invertir en redundancia para infraestructura virtualizada
Después de la pandemia, la virtualización se ha vuelto crítica y generalizada dentro de las empresas. Sin embargo, un plan de continuidad del negocio debe tener en cuenta la necesidad de una infraestructura física y virtual híbrida.
Poseer servidores virtuales, espacios de almacenamiento. así como las estaciones de trabajo reduce el riesgo de interrupciones del servicio, pero las máquinas virtuales aún pueden funcionar mal. Tener una estrategia de copia de seguridad para máquinas virtuales debe ser una de sus principales prioridades, especialmente si ha aumentado su plan de virtualización para procesos de misión crítica entre 2020 y 2023.
8. Considere asociarse con un proveedor de BCDR administrado
Casi todos los proveedores de servicios de TI dirán que pueden ayudar con la reparación y recuperación de la interrupción del servicio. Sin embargo, existe una diferencia significativa entre un socio que ofrece instalaciones de respaldo fuera del sitio y un socio que tiene la infraestructura BCDR necesaria. Un proveedor de servicios gestionados ofrecerá una serie de servicios:
- Infraestructura de grado militar
- Herramientas para la recuperación ante desastres y la copia de seguridad
- Facilidades para archivar y restaurar
- Administración multiplataforma de almacenamiento
- Experiencia reconocida y comprobada en evacuación de emergencia y traslado a cualquiera de varios lugares de recuperación
9. Trabajar con adquisiciones para evaluar la preparación de los proveedores para BCDR
Las empresas modernas no son entidades autosuficientes que funcionan como islas en el mar. Por el contrario, son instituciones profundamente interconectadas con profundas interdependencias de proveedores externos que entregan cualquier cosa, desde infraestructura de TI de misión crítica hasta productos terminados y materiales básicos. Identifique cada asociación empresa-proveedor y el riesgo potencial que presenta para la continuidad del negocio si se interrumpe el suministro del proveedor. ¿A qué presiones se enfrentan los proveedores y qué tan robustos/resistentes son sus asociados cuando están bajo estrés?
Al comienzo de la relación, los proveedores externos deben estar sujetos a una debida diligencia estricta y ser monitoreados constantemente para detectar cualquier signo de nuevas amenazas. ¿Cuáles son exactamente sus planes individuales para la continuidad del negocio? ¿Son suficientes para salvaguardar su empresa?
10. Busque opciones de colocación
Finalmente, la colocación ofrece a las empresas con infraestructura de TI a gran escala una forma de distribuir su exposición al riesgo en regiones geográficamente diversas.
Las redundancias integradas en los centros de datos de terceros están destinadas a fomentar el tiempo de actividad y la resiliencia. Además, la colocación proporciona múltiples fuentes de energía y opciones de conectividad. Esto funciona como una ruta de respaldo en caso de que falle la ruta principal.
Varios proveedores de servicios de colocación también pueden proporcionar una selección de centros de datos dispersos geográficamente, lo que permite a las empresas seleccionar las instalaciones que más se ajusten a sus requisitos específicos. Una organización puede elegir una ubicación principal más cercana a su sede central por conveniencia y una ubicación secundaria más remota para la recuperación después de un desastre. La continuidad del negocio también está respaldada por los programas de mantenimiento programado y las actualizaciones de maquinaria de los centros de datos de colocación, que optimizan la disponibilidad y el rendimiento del sistema.
Conclusión
A medida que los desastres y las interrupciones comerciales se vuelven más complejos de manejar, estas mejores prácticas de BCDR ayudarán a su equipo de TI a prepararse. También puede explorar el potencial de la computación en la nube para ayudar en la planificación de recuperación ante desastres (DRP) y usar herramientas de recuperación de datos para recuperar información perdida después de incidentes menores.