La gestión de la continuidad del negocio (BCM) es un sistema proactivo que identifica y evalúa sistemáticamente las amenazas a una organización y aplica procedimientos para garantizar que los servicios y sistemas críticos sigan funcionando en caso de interrupción. Abarca actividades que ayudan a una organización a reconocer riesgos y vulnerabilidades potenciales, identificar las acciones necesarias para mitigarlos y los procedimientos para gestionar lo inesperado. Como parte de una estrategia global de seguridad de la información, la BCM ayuda a las organizaciones a proteger sus activos aplicando métodos que garanticen que los sistemas críticos sigan operativos.
La BCM garantiza que la organización pueda seguir funcionando independientemente de la interrupción, y puede ser tan sencilla como disponer de métodos alternativos de comunicación o hacer copias de seguridad de los datos, hasta una estrategia más compleja, como asegurar servidores adicionales y recursos de recuperación de datos.
La BCM incluye distintos elementos, como la evaluación de riesgos, la evaluación de amenazas y vulnerabilidades, la evaluación del impacto en el negocio, la mitigación de riesgos, la planificación de la continuidad del negocio, la respuesta a incidentes y la recuperación tras un incidente. La evaluación de riesgos evalúa la exposición potencial de una organización a determinadas amenazas o peligros. La evaluación de amenazas y vulnerabilidades identifica las posibles amenazas a la organización, así como las vulnerabilidades que pueden permitir que esas amenazas tengan éxito. La evaluación del impacto en el negocio evalúa el impacto de las amenazas o interrupciones potenciales en las metas y objetivos de negocio de la organización. Los esfuerzos de mitigación de riesgos minimizan el impacto de las amenazas o interrupciones. La planificación de la continuidad de la actividad aborda las estrategias de recuperación, como la comunicación alternativa y los procedimientos de recuperación. Los procesos de respuesta a incidentes abordan la forma en que la organización debe gestionar incidentes o interrupciones específicos, mientras que los planes de recuperación tras incidentes pueden incluir estrategias para ayudar a la organización a volver a su estado de funcionamiento anterior al incidente.
La gestión de la continuidad de las actividades es un componente importante de la continuidad de las actividades e implica un enfoque global para garantizar la continuidad de las operaciones de una organización incluso en las circunstancias más extremas. Proporciona a las organizaciones los medios para prepararse, responder y recuperarse de cualquier incidente que tenga el potencial de causar una grave interrupción de las operaciones empresariales, pérdida de datos o daños financieros y de reputación.