Inicio > Glosario de ciberseguridad > Plan de continuidad de las actividades (PCN) 🟩 Documento

Plan de continuidad de las actividades (PCN) 🟩 Documento

Un plan de continuidad de las actividades (PCN) es un documento estratégico que describe las medidas que deben aplicarse para mantener las actividades esenciales de una organización durante y después de una crisis o incidente grave (ataque cibernéticocatástrofes naturales, pandemias, etc.).

No confundir con un Plan de recuperación en caso de catástrofe (DRP).

A diferencia del PRAAdopta un enfoque proactivo para evitar la interrupción total de la actividad, integrando medidas técnicas, humanas y logísticas.


Diferencias con la PRA

BCP (Plan de Continuidad de Negocio) DRP (Plan de recuperación en caso de catástrofe)
Mantiene las actividades durante una crisis (por ejemplo, cambio a un sitio de emergencia) Restablecer las actividades después de un cierre total (por ejemplo, restauración de copias de seguridad)
Enfoque proactivoAnticiparse a los riesgos para evitar tiempos de inactividad (infraestructura redundante, planes de contingencia, etc.). comunicación) Enfoque reactivo : actúa tras el incidente para restablecer los sistemas
Portada todos los aspectos (TI, RRHH, logística, jurídico) Se dirige principalmente a sistemas informáticos y datos


Google - Noto Color Emoji 15.0 (Animado)Funcionamiento del PBC

El PCB se estructura en torno a 5 fases clave:

  1. Análisis del impacto en la empresa (BIA) :
    • identificar los procesos vitales (por ejemplo, línea de producción, atención al cliente).
    • defina tolerancias de interrupción (por ejemplo, umbral de 2 horas para las entregas).
  2. Evaluación de riesgos :
    • cartografiar las amenazas (pandemia, fallo del proveedor, huelga) y su impacto financiero/reputacional.
  3. Estrategias de continuidad :
    • redundancia sitios de respaldo, proveedores alternativos.
    • teletrabajo Infraestructura en nube, VPN seguro.
    • capacitación Ejercicios de equipo periódicos (por ejemplo, simulación de crisis).
  4. Redacción del plan :
    • detalles de los procedimientos (por ejemplo, activación del sitio de emergencia en <1 hora).
    • funciones clave: gestor de crisis, equipo logística, apoyo informático.
  5. Pruebas y mantenimiento :
    • simulacros anuales (por ejemplo, crisis sanitaria, fallo de la red).
    • actualizados en función de la evolución (por ejemplo, nuevas normativas o tecnologías).

Ejemplos de aplicación

  • pandemia Una empresa de logística está cambiando 80 % de sus empleados al teletrabajo utilizando herramientas colaborativas (Microsoft Teams, SharePoint).
  • huelga Un hospital se asocia con una clínica privada para prestar servicios de urgencias.
  • fallo del proveedor Un fabricante de automóviles utiliza piezas de reserva para evitar paradas de producción.

Beneficios

  • minimiza las pérdidas La rápida activación del PCN reduce los costes de inactividad entre un 30 y un 50 % (estudio del Business Continuity Institute).
  • protege la imagen 65 % de las empresas con un PCN mantienen la confianza de los accionistas en caso de crisis (Deloitte).
  • conformidad cumplimiento de la norma ISO 22301 o SOC 2.

Desventajas

  • costes elevados Mantenimiento de sitios redundantes (hasta 1 millón de euros al año para una gran empresa).
  • complejidad operativa coordinación entre departamentos (TI, RRHH, jurídico).
  • riesgo de infrautilización 45 % de los PCN nunca se ponen a prueba en condiciones reales (Gartner).

Estructura típica de un PCN

  1. Objetivos :
    • niveles mínimos de servicio (por ejemplo, 70 % de producción mantenida).
    • Tiempos de cambio (por ejemplo, un centro de respaldo operativo en <2 horas).
  2. Inventario de recursos :
    • cadena de suministro, servidores, personal clave.
    • secundarios: aplicaciones no vitales, existencias no prioritarias.
  3. Procedimientos de activación :
    • prioridad 1: proteger los datos de empleados y clientes.
    • prioridad 2: activar infraestructuras alternativas (por ejemplo, nube híbrida).
  4. Equipo de crisis :
    • directivos: director operativo, responsable de RRHH, experto ciberseguridad.
    • socios externos: proveedores de energía, aseguradoras.
  5. Comunicación :
    • plantillas de mensajes para clientes, empleados y medios de comunicación.
    • canales preferidos: correo electrónico, redes sociales internas, SMS.

Buenas prácticas

  • implicar a las profesiones Los equipos operativos deben co-construir el PCB.
  • balanzas automatizadas herramientas como VMware SRM reducen los tiempos de intervención.
  • escenarios híbridos Anticipar crisis combinadas (por ejemplo, ciberataque + escasez de personal).
  • auditorías periódicas Comprobación de la adecuación del PBC en relación con nuevas amenazas (por ejemplo, la amenaza terrorista). IA Generativa).

📊 Cifras clave

  • Francia :
    • 40 % de las PYME carecen de PBC (INSEE).
    • Coste medio de un día de paro: 10.000 euros para una empresa muy pequeña (Medef).
  • Mundo :
    • 70 % de las empresas con un PCN resisten una crisis grave (ICB).
    • 90 % de las interrupciones de negocio > 7 días acaban en quiebra (FEMA).
Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad