Afrontar el desafío de implementar un sistema de continuidad de negocio (ISO 22301:2012 – 3.5 Business Continuity Management System: BCMS) es una tarea que se puede hacer extraordinariamente compleja si no se ha definido previamente una estrategia que permita optimizar los recursos necesarios para su implementación.
Y dentro de este contexto, la ejecución de un BIA (ISO 22301:2012, 3.8 Business Impact Analysis) o Análisis de Impacto de Negocio suele ser la piedra angular que permitirá definir dicha estrategia. Debido a que las organizaciones no cuentan con recursos infinitos para invertir en personas, procesos o tecnología orientados a la Continuidad del Negocio, se hace necesario establecer una metodología que permita comparar los procesos de negocio en base a parámetros homogéneos y objetivos, a fin de establecer las prioridades a la hora de asignar estos recursos de manera eficiente.
¿Cuáles son los objetivos que persigue un BIA?
El principal objetivo de un BIA, tal como se indicó anteriormente, es priorizar los procesos de negocio desde el punto de vista de su relevancia en cuanto a la continuidad operativa. Sin embargo, el BIA tiene otros objetivos secundarios que son dignos de destacar, y que se muestran en la Figura 1.
- Identificar
componentes críticos del proceso. El BIA debe buscar descubrir y documentar todos los componentes críticos
que posea el proceso que esté siendo analizado. Esta actividad comprende cuatro
aspectos fundamentales:
- Personas: Corresponden a las personas que son claves dentro de la ejecución, seguimiento y control del proceso. Estas son conocidas como personal clave, ya que su ausencia podría gatillar un incidente de continuidad del negocio.
- Tecnología: Corresponde a aquellos sistemas que son necesarios para la ejecución, seguimiento y control del proceso. Esto además puede ser complementado con el levantamiento de los componentes a nivel de TI, seguridad y comunicaciones que soportan dichos sistemas.
- Instalaciones: Corresponde a aquellas ubicaciones físicas donde se realizan los procesos. En el caso que los procesos sean completamente virtuales, dichas instalaciones suelen corresponder a los Datacenters.
- Proveedores: En aquellos casos donde los procesos sean completa o parcialmente externalizados, se deben determinar los proveedores involucrados en ellos.
- Identificar temporalidades del proceso. Debido a que la continuidad del negocio corresponde a una actividad ininterrumpida en el tiempo, el BIA debe determinar aquellos momentos clave donde el proceso se ve sobrecargado o en donde la continuidad del negocio cobre mayor relevancia. Por citar un ejemplo, en un proceso de matricula para una universidad existen dos meses en el año donde dicho proceso adquiere una mayor relevancia en cuanto a la continuidad operativa.
- Determinar procedimientos de operación alternativa existentes. En organizaciones donde se ha implementado previamente parcial o totalmente un BCMS, es probable que ya existan procedimientos de continuidad operativa. Incluyo en aquellas organizaciones donde este concepto aún no esté desarrollado, los dueños de proceso podrían eventualmente tener planes definidos. En este sentido, el BIA debe recopilar y documentar los mecanismos existentes, a fin de poder considerarlos a futuro.
- Determinar el RPO y el RTO del proceso. Finalmente, el BIA debe perseguir y definir dos conceptos claves en la implementación de una estrategia de continuidad del negocio: El RPO (ISO 22301:2012, 3.44 Recovery Point Objetive) y el RTO (ISO 22301:2012, 3.45 Recovery Time Objetive). El RTO o Tiempo de Recuperación Objetivo se refiere a la cantidad de tiempo máxima permitida para recuperar un proceso posterior a una disrupción (27031:2011, 3.6 Disruption). El RPO o Punto de Recuperación Objetivo, por su parte, se refiere a un objetivo de recuperación de datos. Este es el punto en el cual la información o los datos utilizados por el proceso deben ser restaurados posterior a una disrupción. Ambos conceptos claves deben ser definidos durante la ejecución del BIA, y ambos se definen basándose en un proceso de análisis de impacto asociado a la disrupción.
Durante las próximas entregas de este artículo, se entregarán algunos aspectos claves para construir una plantilla que les permita establecer un proceso de análisis de impacto en el negocio para cualquier organización.
¡Nos vemos en una próxima oportunidad!