Continuidad y BIA corporativos
En los últimos tiempos, cada vez es más utilizado y aplicado el término “Continuidad de Negocio” en las organizaciones, tanto públicas como privadas. Este hecho está basado en la preocupación creciente de que ninguna organización está exenta de sufrir un incidente que afecte a la continuidad de sus operaciones diarias.
Pero… ¿qué es la Continuidad de Negocio? Según la norma ISO 22301:2012 (estándar internacional publicado por la Organización Internacional de Normalización (ISO) que regula los requerimientos que debe tener un Sistema de Gestión de Continuidad de Negocio), la continuidad de negocio es la capacidad de la organización para continuar la entrega de los productos y servicios en los niveles predefinidos aceptables después de un incidente disruptivo. Analizando con detenimiento la definición anterior, uno percibe que existen varias incógnitas y presupone que es necesario mucho trabajo lograr esa “capacidad”.
Independientemente del estándar ISO 22301, las estrategias llevadas a cabo por las organizaciones para la implantación de la Continuidad de Negocio son muy diversas, dependiendo en gran medida de los conocimientos existentes en la organización sobre la materia y de los recursos (económicos, tecnológicos, humanos) que dispone.
Como primera recomendación, si me lo permiten, para la implantación de la Continuidad de Negocio es la utilización de algún estándar de referencia sobre la materia. Los estándares publicados por los diferentes organismos (por ejemplo, la citada norma ISO 22301) son realizados por equipos de trabajo compuestos por expertos en la materia y que disponen de una amplísima experiencia, por lo que suelen ser documentos que incorporan todos los requisitos que se deben considerar para la implantación de un sistema. Algunas personas tienen la falsa creencia que la implantación de un estándar ISO (u otro estándar de un organismo diferente) supone obligatoriamente la certificación del mismo, pero en realidad muchas organizaciones utilizan un estándar internacional como una guía de QUÉ pueden hacer para conseguir sus objetivos sin caer en la obligación de cumplir con todos los requerimientos al 100%, y menos aún que una entidad externa certifique dicho cumplimiento.
Dejando de lado la parte teórica y centrándonos en la parte más práctica de la Continuidad de Negocio, ésta supone el desarrollo de diferentes actividades que, en primer lugar, ayuden a la organización a conocer sus características y carencias principales, y en segundo lugar, definan las acciones necesarias para recuperarse de cualquier evento que afecte a la continuidad de sus operaciones considerando el impacto para la organización de que ciertos procesos dejen de ejecutarse.
Para lograr esto existe una actividad muy importante en cualquier implantación de un Sistema de Continuidad de Negocio: el Análisis de Impacto en el Negocio (comúnmente llamado BIA, por sus siglas en inglés). Esta actividad está compuesta por el análisis de todos los procesos de negocio que se encuentran involucrados en la entrega de los productos y servicios a los clientes de una organización.
Cómo planificarlo y llevarlo a cabo lo veremos próximamente en la segunda parte del artículo.
Al planificar la ejecución de un BIA en una organización, las personas que lo lideran se realizan principalmente dos preguntas:
- ¿Qué información obtengo y analizo de los procesos de negocio?
- ¿Cómo obtengo esta información?
Respecto a la primera pregunta, no existe una respuesta única ya que la información necesaria para conocer las características y la criticidad de los procesos de negocio puede variar entre las diferentes empresas. No obstante, se recomienda obtener un conjunto de información mínimo para cada proceso, concretamente:
- Impacto potencial para la organización en caso de que se produzca un incidente que impida la ejecución normal del proceso. Este impacto se debe establecer considerando diferentes tiempos de interrupción, recomendándose la utilización de varios tipos de impacto (económico, operativo, legal, etc.) según la naturaleza del proceso.
- Plazos de tiempo máximo y deseable para la recuperación de las actividades críticas del proceso de negocio. Estos plazos son comúnmente denominados MTPD (Maximum Tolerable Period of Disruption) y RTO (Recovery Time Objective), respectivamente. Se trata de dos conceptos muy importantes en cualquier sistema de continuidad de negocio.
- Recursos mínimos necesarios para la ejecución de las actividades críticas del proceso en caso de sufrir un incidente que impida su ejecución normal. Entre los recursos que se deben considerar se incluyen la infraestructura, las personas, la información, los proveedores, las sedes físicas, etc., es decir, cualquier elemento necesario para que el proceso pueda ejecutar sus actividades críticas.
- Plazo de tiempo máximo para la reanudación de todas las actividades (críticas y no críticas) del proceso de negocio. Este plazo determina cuál es la ventana de tiempo por la que el proceso puede estar sin ejecutar el 100% de sus actividades. No hay que confundir este concepto con el MTPD o RTO, ya que son conceptos muy diferentes.
BIA: La información necesaria para determinar la criticidad del proceso
Adicionalmente, cada organización debe determinar qué otra información necesita para conocer las particularidades de los procesos. Por ejemplo, la realización de un BIA se puede aprovechar para actualizar las características de los procesos de negocio de la organización (actividades, productos de trabajo que genera, dependencias con otros procesos, etc.), ya que esta información suele estar definida, si lo está, en documentos creados para tal efecto. Además, comúnmente estos documentos se encuentran desactualizados debido a la constante dinámica de cambio que existe en todas las organizaciones para actualizarse a los nuevos requerimientos del negocio.
En definitiva, para estar seguro que no se olvida información importante podemos aplicar el siguiente criterio: un BIA debe obtener toda la información necesaria para determinar la criticidad del proceso para la organización, y de esta manera poder elaborar posteriormente el plan de continuidad corporativo que permita la recuperación de las actividades críticas de cada proceso cumpliendo los plazos obtenidos en cada uno de ellos.
En cuanto a la segunda cuestión planteada, la información de un proceso de negocio se debe obtener a través de las personas que tengan responsabilidad sobre el proceso de negocio, pero además deben conocer su funcionamiento y tener visibilidad de cómo afecta el proceso de negocio a los objetivos de la organización. Estas características no siempre se encuentran en una misma persona, por lo que en estas situaciones se debe entrevistar a todas aquellas personas que correspondan.
La responsabilidad y ejecución de los procesos de negocio se encuentra distribuida en diferentes áreas y departamentos de nuestra organización, por lo que al realizar la planificación de un BIA se debe considerar este hecho ya que condiciona los plazos de la misma. Cada área y departamento tienen sus objetivos y actividades diarias, y conseguir planificar sesiones de trabajo para obtener la información necesaria para el BIA no siempre es sencillo por las incompatibilidades que suelen existir entre las agendas.
Como conclusión a todo lo anterior, la ejecución de un BIA en una organización se puede resumir como un proceso periódico vital para establecer un sistema de continuidad de negocio dónde se analizan todos los procesos de negocio que se encuentran involucrados en la entrega de los productos y servicios a los clientes, obteniendo la información necesaria para determinar tanto las características principales de cada proceso como los impactos (económico, operativo, legal, etc.) que supondrían para la organización que un proceso dejará de ejecutarse (sin importar el incidente o evento que lo provoque). Esta información debe estar disponible para la elaboración de los planes de continuidad de la organización, ya que permiten establecer las prioridades de los diferentes procesos y, de esta forma, ordenar las actividades de recuperación en caso de la ocurrencia de un evento que afecte a la continuidad de las operaciones diarias.
La ejecución de todo el proceso descrito anteriormente se puede automatizar a través de la herramienta GlobalSUITE® Business Continuity. Esta plataforma dispone de una funcionalidad completa para la organización y registro de los BIA, incluyendo: una configuración estándar (tipos de impacto, escalas temporales, recursos mínimos, etc.) para el registro de los BIA, la cual es modificable; la posibilidad de realizar más de un BIA para un mismo proceso de negocio; consolidación de los BIA de un proceso considerando los diferentes BIA realizados para el proceso o subprocesos; así como el diseño y publicación de encuestas de BIA que son enviadas a los responsables de cada proceso de negocio, los cuales acceden a la encuesta online sin necesidad de disponer usuario de la herramienta.