¿Qué es continuidad del negocio vs recuperación ante desastres?

La continuidad del negocio es el plan de cómo tu empresa sigue atendiendo a los clientes cuando algo sale mal. Eso puede significar que las líneas telefónicas no funcionan, que una aplicación clave deja de funcionar, que la oficina se queda sin energía, o que un integrante del equipo no puede acceder a archivos. Cubre personas, procesos, comunicación y tecnología.

La recuperación ante desastres es el plan de cómo se restaura la tecnología después de una interrupción importante. Por lo general, se enfoca en sistemas, dispositivos, datos, internet y software crítico del negocio. En términos simples, la continuidad del negocio es para mantener el negocio funcionando, y la recuperación ante desastres es para volver a poner la tecnología en marcha.

Una forma útil de pensarlo es esta: la continuidad del negocio responde “¿Cómo seguimos trabajando?”. La recuperación ante desastres responde “¿Cómo restauramos lo que se rompió?”. La mayoría de las pequeñas empresas necesita ambas, aunque los planes sean sencillos.

Si estás comparando opciones de soporte, un proveedor independiente de servicios de TI administrados, a menudo llamado MSP (Managed Service Provider, Proveedor de Servicios Administrados), puede ayudarte a evaluar ambas áreas. Si todavía estás aprendiendo los conceptos básicos, nuestra página de answers es un buen lugar para empezar.

Muchos dueños asumen que solo las copias de seguridad resuelven el problema. Las copias son importantes, pero son solo una parte de la recuperación ante desastres. Una copia puede ayudar a restaurar archivos perdidos, pero no le dice automáticamente a tu equipo cómo tomar pedidos, atender clientes, procesar pagos o trabajar desde otro lugar.

Por ejemplo, si se va el internet por un día, tu plan de continuidad del negocio podría indicar cómo el personal cambia a puntos de acceso móviles, quién actualiza a los clientes y qué trabajo puede continuar en papel o desde casa. Tu plan de recuperación ante desastres podría indicar cómo se contacta al proveedor de internet, qué conexión de respaldo está disponible y cómo se revisan los sistemas una vez que el servicio vuelve.

La distinción también importa para el presupuesto. Algunas empresas necesitan una recuperación más rápida porque cada hora de inactividad significa ingresos perdidos, citas que se pierden o problemas de cumplimiento. Otras pueden tolerar una interrupción más larga. Un buen plan se adapta a las necesidades reales de tu empresa, no a una lista genérica.

Ningún proveedor honesto promete cero tiempo de inactividad o una red imposible de hackear. El objetivo práctico es reducir la interrupción, recuperarse en un tiempo razonable y asegurarse de que tu equipo sepa qué hacer.

La continuidad del negocio empieza por tus operaciones más importantes. ¿Qué servicios deben seguir funcionando hoy, incluso durante un problema? ¿Qué puede esperar unas horas o un día? En una clínica u oficina médica, eso podría ser la agenda y la comunicación con pacientes. En una tienda minorista, podría ser el procesamiento de pagos y el acceso al inventario. En un despacho de abogados, podría ser el acceso a documentos y la comunicación con clientes. Los requisitos varían según la industria y el estado.

Un plan sólido de continuidad suele incluir formas alternas de trabajar, un árbol telefónico o lista de contactos, soluciones temporales, contactos de proveedores y un orden de prioridades claro. Debe estar escrito en lenguaje sencillo, no escondido dentro de notas técnicas. Si solo una persona entiende el plan, no es mucho de un plan.

También incluye preguntas prácticas. ¿El personal puede trabajar de forma remota si se cierra la oficina? ¿Aún puedes responder llamadas de clientes? ¿Sabes qué tareas manuales puede usar tu equipo durante uno o dos días? ¿Los documentos clave están almacenados donde las personas correctas puedan encontrarlos sin depender de un solo dispositivo?

La buena planeación de continuidad no solo sirve para desastres. También ayuda con interrupciones más pequeñas, como una laptop que no enciende, una oficina cerrada con llave, una caída de una aplicación en la nube o una brecha de personal.

La recuperación ante desastres es más técnica, pero la idea central es sencilla. Es el proceso documentado para restaurar sistemas, datos y accesos después de un evento serio. Eso podría incluir fallas de servidor, ransomware, eliminación accidental, una tormenta, un incendio o un problema importante de hardware.

Un buen plan de recuperación ante desastres normalmente cubre copias de seguridad, pasos de restauración, prioridades de recuperación y objetivos de tiempo de recuperación. También podrías escuchar el término copia de seguridad 3-2-1. Eso significa tener 3 copias de tus datos, en 2 tipos diferentes de almacenamiento, con 1 copia guardada fuera del sitio (offsite). Es un enfoque común de copias, no una garantía.

También podrías escuchar términos como endpoint, patching, EDR, RMM, MFA y SLA cuando hables con proveedores. Un endpoint es cualquier dispositivo del negocio como una laptop, computadora de escritorio o teléfono. Patching significa instalar software y actualizaciones de seguridad. EDR (endpoint detection and response) es software que se usa para detectar actividad sospechosa en dispositivos. RMM (remote monitoring and management) es software con el que un proveedor puede monitorear el estado de los dispositivos y hacer mantenimiento rutinario. MFA (multi-factor authentication) es autenticación multifactor, que agrega un segundo paso al iniciar sesión. SLA (service level agreement) es el acuerdo por escrito que explica el alcance del servicio y los objetivos de respuesta.

Para algunas empresas, la recuperación ante desastres también incluye recuperación de aplicaciones en la nube, conmutación por error de internet (internet failover), planes de reemplazo de hardware y un proceso probado para volver a poner a los usuarios en línea en el orden correcto. La configuración adecuada depende de tu cantidad de personal, tus dispositivos, tus necesidades de seguridad y el área.

“Bien” no siempre significa caro. Para muchas empresas pequeñas y medianas, “bien” significa que lo básico está claro, por escrito y probado. Sabes qué sistemas son los más importantes. Sabes cuánto tiempo puedes operar de forma realista sin cada uno. Sabes quién toma decisiones, quién contacta a los proveedores y cómo el personal sigue trabajando durante una interrupción.

“Bien” también significa que tus copias de seguridad no solo están activadas y se olvidan. Se revisan, y las restauraciones se prueban de vez en cuando. Las listas de contactos están actualizadas. Los detalles importantes de las cuentas de proveedores se documentan internamente de forma segura. El personal sabe dónde está el plan y qué hacer primero.

Si trabajas en un sector regulado, también podrías necesitar preguntar sobre requisitos de la industria. HIPAA es la Ley de Portabilidad y Responsabilidad de Seguros de Salud (Health Insurance Portability and Accountability Act), que afecta la información de salud protegida. PCI normalmente se refiere al Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (Payment Card Industry Data Security Standard), que aplica a empresas que manejan pagos con tarjeta. SOC 2 es un marco de reporte que muchos proveedores de software usan para mostrar cómo gestionan controles relacionados con seguridad. Las reglas que te importan dependen de tu industria, tus clientes y, a veces, tu estado.

Algunas empresas también quieren orientación estratégica para la planeación y el presupuesto. Podrías escuchar el término vCIO, que significa Chief Information Officer (CIO) virtual. Por lo general, se refiere a un asesor externo que ayuda con la planeación de TI, prioridades y roadmaps. No todas las empresas necesitan ese nivel de servicio, pero muchas se benefician de tener a alguien que conecte el riesgo del negocio con decisiones prácticas.

Si estás tratando de entender qué nivel de planeación necesita tu negocio, NodeBridge IT puede ayudarte a orientarte. No somos una empresa de TI, un proveedor de servicios administrados ni una firma de seguridad. No administramos, monitoreamos, aseguramos, reparamos ni accedemos a tus sistemas. Ofrecemos educación general y emparejamiento gratuito.

Ayudamos a empresas de EE. UU. pequeñas y medianas a encontrar un proveedor independiente que se ajuste a su tamaño, necesidades y presupuesto. Eso puede ser útil si no estás seguro de si necesitas una revisión básica de copias de seguridad, un plan de continuidad más amplio o soporte continuo de un MSP.

Nuestro servicio es gratuito para empresas. Los proveedores participantes nos pagan una tarifa fija de marketing. Si quieres saber más sobre opciones de soporte, visita services. Si quieres hablar sobre tu situación y conectar con un proveedor independiente, puedes get matched.