Dándole continuidad a nuestro artículo anterior “La importancia de actualización del contexto en que se encuentra la organización”, en esta oportunidad queremos conversar acerca de las consideraciones que se deberían tener en cuenta durante la elaboración del documento BIA (Business Impact Analysis) por sus siglas en inglés.

Objetivo del BIA

El análisis de impacto de negocio y evaluación de riesgos permite a la organización evaluar el impacto que la disrupción de las actividades tendrá en la entrega de sus productos y servicios. Esto permite a la organización a priorizar la reanudación de actividades. El resultado del análisis de impacto permite a la organización determinar los parámetros apropiados de sus estrategias y soluciones de continuidad del negocio.

La etapa de elaboración del BIA implica un levantamiento, análisis y procesamiento de información que debe realizarse con suma precisión, minuciosidad y sin evadir detalles que después pudiesen acarrear errores o fallas, puesto que de este Análisis de Impacto al Negocio derivarán todas las estrategias de recuperación que darán forma al Plan de Continuidad de Negocio.

Métricas de tiempos de recuperación

Un aspecto importante a tener en cuenta en la elaboración de un BIA son los tiempos de recuperación. En este sentido, cobran especial importancia los siguientes:

• RTO (Recovery Time Objective): Tiempo de recuperación de las actividades que hemos identificado bajo unas condiciones mínimas aceptables. Por ejemplo, supongamos que el responsable del Departamento de Recursos Humanos nos indica que, en caso de que fallara la plataforma que soporta las aplicaciones para la generación y emisión de la nómina, se deberían recuperar el servicio en un plazo máximo de 24 horas. En este caso, estableceríamos que el RTO asociado a dicho proceso es de 24 horas.
• MTPD (Maximum Tolerable Periodo of Disruption): Tiempo máximo tolerable de caída el cual nos determina el tiempo que puede estar caído un proceso antes de que se produzcan efectos desastrosos en la compañía y repercuta en el negocio. Volviendo al caso anterior, supongamos que el proceso de gestión de nóminas no debe estar interrumpido por un periodo superior a 48 horas. En este caso, estableceríamos que el MTD asociado a dicho proceso es de 48 horas. Ciertas bibliografías hacen referencia a este indicador también como MTD (Maximum Tolerable Downtime). El RTO debe ser menor al MTPD debido a que el RTO tiene una definición más técnica, mientras que el MTPD tiene una perspectiva más de negocio.

RPO (Recovery Point Objective): El grado de dependencia de la actualidad de los datos determina la cantidad máxima de información que se podría perder sin llegar a tener consecuencias inaceptables, formando parte de las políticas de respaldo definidas por la organización.  En este sentido, imaginemos que el responsable del Departamento de Recursos Humanos nos indica que podrían tolerar una pérdida de información siempre y cuando no se perdieran los datos generados en más de un día completo. Por lo tanto, estableceríamos que el RPO es de 24 horas.

Análisis de actividades y procesos críticos.

A continuación, se detallan algunos de los ítems que deberían ser cubiertos en las entrevistas con los dueños de procesos:

• Descripción del proceso o subproceso.
• Dueño del proceso.
• Objetivos y descripción del proceso.
• Tiempos de Recuperación por cada proceso para cada proceso o subproceso crítico, como por ejemplo pago de nómina, cierre contable, etc. (RTO y MTPD descriptos en la sección anterior).
• Recursos necesarios para la operación del proceso.
• Horario Crítico del proceso.
• Número y Nombre de Proveedores.
• Recursos Tecnológicos Requeridos (Normales y Alternativos).
• Infraestructura o Lugar de Trabajo (Habitual y Alternativo).

Adicionalmente se deberá considerar:

• Definición de los criterios de evaluación (tipos y plazos).
• Analizar los distintos escenarios de interrupción (indisponibilidad de instalaciones, sistemas, RRHH y proveedores críticos).
• Uso de los criterios de evaluación para evaluar los impactos previstos en el tiempo derivados de una disrupción.
• Identificación de interdependencias (personas, información y datos, edificios, instalaciones, equipos y consumibles, TIC, transporte y logística, finanzas, proveedores y socios, etc.).

¿Qué aspecto tiene un BIA?

A continuación, se muestra a modo de ejemplo el resultado del análisis de un BIA en una herramienta de software para la gestión de planes de continuidad de negocio:

Resumen: ¿Qué me aporta un BIA?

En definitiva, los beneficios que se obtienen para la organización de una etapa BIA pueden resumirse en los siguientes:

• Se delimitan los procesos o actividades críticas dentro de la organización que afectan al negocio pudiendo descubrir actividades críticas que a priori no lo parecían.
• Permite identificar vulnerabilidades de una organización en materia de continuidad de negocio.
• Un mayor conocimiento de los procesos de negocio contribuirá favorablemente a la mejora de la competitividad y seguridad en el mercado.
• Identifica los procesos claves, mediante entrevistas con los dueños de procesos, o sus delegados, en las áreas de negocio cubiertas por el alcance del Plan de Continuidad de Negocio.
• Determina los plazos de recuperación que requiere el negocio para distintos procesos o subprocesos.
• Identifica los procesos críticos según su nivel de impacto.
• Identifica los recursos clave (habituales o en contingencia) asociados a los procesos donde puedan producirse impactos: personas, infraestructura, comunicaciones, tecnología y sistemas, documentos, proveedores críticos.
• Reducción de costes ante posibles interrupciones del negocio.
• El trabajo de identificar y jerarquizar los procesos críticos queda aprobado y validado por la Alta Administración mediante un Informe BIA.
• La información obtenida en el desarrollo del BIA es una base fundamental para implantar estrategias de recuperación eficientes.
• En caso de disponer de planes de recuperación permitirá verificar si estos cubren las necesidades del negocio.

Tal como se puede observar, son múltiples los beneficios que se pueden obtener al elaborar el BIA. Con la ayuda de este artículo animamos a las organizaciones a que lo desarrollen y así mejorar la continuidad de sus operaciones.

Luis Frias Vergara

Senior Consultant | IT Audit Services

Control Solutions 360