viernes, 27 de septiembre de 2013

Para qué sirve el Análisis de Impacto al Negocio en el Desarrollo de la Gestión de Continuidad (*)

Hablando en términos de la continuidad del negocio, ha sido muy común que ocurra que cuando se están preparando las estrategias de recuperación de los procesos críticos de una organización, los criterios que se utilizan para considerar los servicios y recursos que se incorporaran, no parecen provenir de una evaluación formal que se haya derivado del análisis de impacto al negocio. Determinar sobre que información se están basando y a que obedece esta situación no es simple; pero sin duda no está provista por el análisis de impacto al negocio.

El análisis de impacto al negocio genera dos productos de información considerablemente valiosos. Uno de ellos es el orden de prioridad, en el que podría estarse considerando la secuencia de recuperación de los procesos, una vez decretada la contingencia, por los efectos ocasionados por un incidente que interrumpa abruptamente las operaciones; y el otro es la aproximación al cálculo de las pérdidas monetarias por dicha interrupción. Es importante aclarar que con base a la pérdida monetaria se puede establecer también la prioridad, pero no siempre es una regla, dado que existen factores de impacto que no están fácilmente reflejado en pérdidas monetarias (imagen, oportunidad de la ventana de tiempo en la que se realiza la operación), más aun si el mismo puede estar soportada en complejas plataformas de tecnológicas que satisfacen a un sector pequeño pero muy importante para el modelo de negocios. 

Comentado en forma general lo que genera un análisis de impacto al negocio, entonces vale preguntar: 
¿para qué sirve?

Como bien argumentamos, se genera la prioridad en que se debe considerar la recuperación de los procesos de la organización. Estos forman parte de la cadena de valor del negocio y por lo general se soportan en múltiples recursos, los cuales deben ser identificados para que sean incorporados en la estrategia que se defina para su recuperación. Entre estos están las personas clave, equipos informáticos, registros vitales, activos críticos, proveedores, entre otros.

En cuanto a la pérdida estimada por concepto de interrupción operativa, siempre nos encontramos con situaciones más complejas, pues cada organización pudiera tener criterios de cálculo propios con niveles de especialización elevados que pueden no necesariamente hacen práctico el proceso de unificación de criterios.  Por ejemplo, para los especialistas de riesgo operacional nunca el monto de la pérdida estará en concordancia con el área de finanzas; y por supuesto jamás entrará en sintonía con el cálculo que estaría realizando el área de continuidad del negocio dado que podría decirse que es la formula más sencilla que hay, la cual se basa en la expectativa de pérdida anualizada. Sin embargo, consideramos que la pérdida estimada en la mayoría de las organizaciones seguirá siendo un tema de amplio debate en el cual, sólo en forma interna se logrará un acuerdo en el cual se armonice un "número" de la pérdida esperada.
 En el concepto de riesgo, se busca obtener el valor en exposición a un punto en el tiempo (un día, un mes, un hora) para los efectos de valorar posibles mitigaciones y provisiones, el análisis desde el punto de vista de continuidad, conlleva a calcular una tendencia de acumulación por la extensión de la venta de tiempo que sea se establezca pueda ser declarada la contingencia, esto para determinar en qué punto esta tendencia supera el límite aceptable de pérdidas para la dirección de la organización y para ello tener un tiempo objetivo de retoma basado en valores monetarios. Por otra parte, estos cálculos en conjunto con la evaluación de posibles escenarios de afectación, permite servir como base para realizar análisis costo/beneficio de esfuerzos sobre posibles estrategias contingentes que puedan reducir ese posible impacto acumulado.

Lograda esta información, lo que sigue es desarrollar las estrategias de recuperación para escenarios que pudieran haber sido considerados con base al entorno de la organización. En esta etapa es donde los procesos de generación de los planes de continuidad del negocio pueden hacerse realmente complejos.

Debe tenerse claro que un plan de continuidad del negocio se ensamblará con base a las piezas que se vayan construyendo; por tanto con sólo desarrollar el análisis de impacto al negocio no se podrá desarrollar las estrategias de recuperación, dado que es necesario tener los escenarios de interrupción, que a su vez vienen derivados de un análisis de riesgos a la que se expone la organización. Dichos escenarios deben estar claramente definidos pues revelaran la criticidad de las situaciones supuestas en un momento dado; y aunado a los tiempos óptimos de recuperación, estimados en el análisis de impacto al negocio, se desarrollarán las estrategias de recuperación. Por ejemplo:
"Ante un desastre natural severo en el que se afecte el centro de procesamiento de datos principal, para una empresa que tiene procesos que exigen tiempos de recuperación óptimos entre 0 y 2 horas, la estrategia será tener un centro de procesamiento de datos espejo que permita la retoma inmediata de tales procesos."
Entonces pudiéramos resumir que un análisis de impacto al negocio sirve para construir las estrategias de recuperación, siempre y cuando se encuentre acompañado de los escenarios de interrupción, dado que con toda esta información, se podría ser muy preciso al momento de desarrollar los diseños detallados de los recursos e infraestructura que se colocaría en los centros alternos de procesamiento de datos y de operaciones.

Es por ello que los métodos para desarrollar la gestión de la continuidad se hace énfasis en la apropiada ejecución del análisis de riesgos, así como del análisis de impacto al negocio; pues ellos se complementan y son insumos requeridos para el desarrollo de las estrategias las que permitirán efectivamente permitir llevar a cabo la recuperación en los tiempos considerados. El no desarrollarlos apropiadamente y no usarlos con el objetivo por el cual deben ejecutados, es lo que en ocasiones hace complejo obtener estrategias de recuperación apropiadas.

(*) Este escrito fue desarrollado con apoyo de José Manuel Groba, quien es especialista en desarrollo de planes de continuidad del negocio.

La nueva normalidad era un juego de niños

Foto: StellaDi Pixabay Creo que "la nueva normalidad" era cosa de 90 días. Eso ya no existe. Pienso que lo cierto es una nueva rea...