1. Inicio
  2. General
  3. Implantación de un Sistema de Continuidad de Negocio – 2ª parte
Implantación de un Sistema de Continuidad de Negocio – 2ª parte

 

Planificación y Realización de un BIA corporativo

 

Por Alberto Rosell – Product Manager de Audisec-GlobalSUITE®

Tras el artículo ‘Implantación de un Sistema de Continuidad de Negocio: Introducción a la Continuidad y a los BIA corporativos’ en el que poníamos al lector en materia, ahora continuamos con la parte de cómo planificar y realizar un BIA en su organización.

Al planificar la ejecución de un BIA en una organización, las personas que lo lideran se realizan principalmente dos preguntas:

  1. ¿Qué información obtengo y analizo de los procesos de negocio?
  2. ¿Cómo obtengo esta información?

Respecto a la primera pregunta, no existe una respuesta única ya que la información necesaria para conocer las características y la criticidad de los procesos de negocio puede variar entre las diferentes empresas. No obstante, se recomienda obtener un conjunto de información mínimo para cada proceso, concretamente:

  • Impacto potencial para la organización en caso de que se produzca un incidente que impida la ejecución normal del proceso. Este impacto se debe establecer considerando diferentes tiempos de interrupción, recomendándose la utilización de varios tipos de impacto (económico, operativo, legal, etc.) según la naturaleza del proceso.
  • Plazos de tiempo máximo y deseable para la recuperación de las actividades críticas del proceso de negocio. Estos plazos son comúnmente denominados MTPD (Maximum Tolerable Period of Disruption) y RTO (Recovery Time Objective), respectivamente. Se trata de dos conceptos muy importantes en cualquier sistema de continuidad de negocio.
  • Recursos mínimos necesarios para la ejecución de las actividades críticas del proceso en caso de sufrir un incidente que impida su ejecución normal. Entre los recursos que se deben considerar se incluyen la infraestructura, las personas, la información, los proveedores, las sedes físicas, etc., es decir, cualquier elemento necesario para que el proceso pueda ejecutar sus actividades críticas.
  • Plazo de tiempo máximo para la reanudación de todas las actividades (críticas y no críticas) del proceso de negocio. Este plazo determina cuál es la ventana de tiempo por la que el proceso puede estar sin ejecutar el 100% de sus actividades. No hay que confundir este concepto con el MTPD o RTO, ya que son conceptos muy diferentes.

Adicionalmente, cada organización debe determinar qué otra información necesita para conocer las particularidades de los procesos. Por ejemplo, la realización de un BIA se puede aprovechar para actualizar las características de los procesos de negocio de la organización (actividades, productos de trabajo que genera, dependencias con otros procesos, etc.), ya que esta información suele estar definida, si lo está, en documentos creados para tal efecto. Además, comúnmente estos documentos se encuentran desactualizados debido a la constante dinámica de cambio que existe en todas las organizaciones para actualizarse a los nuevos requerimientos del negocio.

En definitiva, para estar seguro que no se olvida información importante podemos aplicar el siguiente criterio: un BIA debe obtener toda la información necesaria para determinar la criticidad del proceso para la organización, y de esta manera poder elaborar posteriormente el plan de continuidad corporativo que permita la recuperación de las actividades críticas de cada proceso cumpliendo los plazos obtenidos en cada uno de ellos.

En cuanto a la segunda cuestión planteada, la información de un proceso de negocio se debe obtener a través de las personas que tengan responsabilidad sobre el proceso de negocio, pero además deben conocer su funcionamiento y tener visibilidad de cómo afecta el proceso de negocio a los objetivos de la organización. Estas características no siempre se encuentran en una misma persona, por lo que en estas situaciones se debe entrevistar a todas aquellas personas que correspondan.

La responsabilidad y ejecución de los procesos de negocio se encuentra distribuida en diferentes áreas y departamentos de nuestra organización, por lo que al realizar la planificación de un BIA se debe considerar este hecho ya que condiciona los plazos de la misma. Cada área y departamento tienen sus objetivos y actividades diarias, y conseguir planificar sesiones de trabajo para obtener la información necesaria para el BIA no siempre es sencillo por las incompatibilidades que suelen existir entre las agendas.

Como conclusión a todo lo anterior, la ejecución de un BIA en una organización se puede resumir como un proceso periódico vital para establecer un sistema de continuidad de negocio dónde se analizan todos los procesos de negocio que se encuentran involucrados en la entrega de los productos y servicios a los clientes, obteniendo la información necesaria para determinar tanto las características principales de cada proceso como los impactos (económico, operativo, legal, etc.) que supondrían para la organización que un proceso dejará de ejecutarse (sin importar el incidente o evento que lo provoque). Esta información debe estar disponible para la elaboración de los planes de continuidad de la organización, ya que permiten establecer las prioridades de los diferentes procesos y, de esta forma, ordenar las actividades de recuperación en caso de la ocurrencia de un evento que afecte a la continuidad de las operaciones diarias.

 

La ejecución de todo el proceso descrito anteriormente se puede automatizar a través de la herramienta GlobalSUITE® Business Continuity. Esta plataforma dispone de una funcionalidad completa para la organización y registro de los BIA, incluyendo: una configuración estándar (tipos de impacto, escalas temporales, recursos mínimos, etc.) para el registro de los BIA, la cual es modificable; la posibilidad de realizar más de un BIA para un mismo proceso de negocio; consolidación de los BIA de un proceso considerando los diferentes BIA realizados para el proceso o subprocesos; así como el diseño y publicación de encuestas de BIA que son enviadas a los responsables de cada proceso de negocio, los cuales acceden a la encuesta online sin necesidad de disponer usuario de la herramienta.

 

Menú