domingo, mayo 30, 2010

Análisis de Impacto de Negocios / Business Impact Analysis (BIA)



Una vez se tiene el análisis de riesgos, este se convierte en el punto de partida del Análisis de Impacto de Negocios y/o Business Impact Analysis (BIA). Este BIA se constituye asi en el pilar sobre el que se va construir el Plan de Recuperación de Negocios. El BIA será la guía que determine que necesita ser recuperado y el tiempo que tarde dicha recuperación, actividades que en el Plan de Continuidad de Negocios se convierten quizás en las más difíciles y criticas por realizar adecuadamente. El apoyo del BIA es invaluable para identificar que esta en riesgo una vez se presente un riesgo permitiendo así justificar los gastos que se requieran en protección y capacidad de recuperación. Usualmente se habla de "critico" o "esencial" cuando se listan las actividades desarrolladas en una Organización.

Al hacer un BIA quizás resulte mas útil hablar de "tiempos inactivos", puesto que ninguna organización contrata un empleado para que realice labores "no esenciales", cada labor tiene un propósito, pero hay unas labores que son mas exigentes en su tiempo de ejecución que otras cuando hay limites de recursos o tiempos apretados de entrega para su realización. Veámoslo de este modo: Un banco que haya sufrido un percance por un pequeño incendio en la bodega puede detener su campaña publicitaria pero no podrá detener los procesos de retiros y depósitos de sus clientes. La campaña publicitaria del banco es esencial para su crecimiento a largo plazo, pero cuando se presenta una emergencia o desastre puede ser aplazada no por su criticidad sino por que su "tiempo de inactividad" puede ser mucho mayor y no afectar la operación del banco.
La organización debe revisar cada una de las tareas que se realizan con el mismo patrón de referencia. Por cuanto tiempo puede dejar de realizarse esta actividad sin que ello cause perdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales? Cuando se trata el tema de continuidad, todo gira alrededor del impacto. Es acerca de sostener la operación básica de la Organización mientras que lo demás se puede dejar en espera. Es centrarse en las operaciones que le permiten sobrevivir a la Organización. Todos los procesos de la Organización, así como los recursos tecnológicos en los que se soportan tales procesos deben ser clasificados de acuerdo a su prioridad de recuperación. Los tiempos de recuperación de los procesos para una organización están medidos por las consecuencias de no poder ejecutarlos.

De que consecuencias estamos hablando? Demandas en contra de la Organización por el incumplimiento de una entrega en una fecha determinada, perdida de reputación, etc. Generalizando, los impactos de un desastre pueden ser financieros, legales, o de retención/perdida de clientes.


Ahora, como realizar el análisis de impacto de negocios (BIA)? Se inicia identificando los procesos que se realizan en la organización, y asignándoles un líder; siendo ideal que ya exista un Sistema de Gestión en el que ya se haya hecho esta actividad. Con los lideres de proceso se puede conformar un "equipo de planeación" que hará la evaluación del proceso que tengan asignado. Una vez identificados procesos y sus lideres, se debe listar cada una de las actividades que se realiza para cada uno de los procesos para entender cual es el propósito de los mismos, y aquí se debe analizar cada actividad que se ejecute en tres aspectos: riesgo financiero de no ejecutar tal actividad, riesgo regulatorio o legal de no ejecutar tal actividad, y el riesgo reputacional o con el cliente de no ejecutar tal actividad.
Aclaremos cada uno de los riesgos:
  • Financiero: incluye perdida de ingresos, pérdida de intereses con entidades bancarias, costos de pedir dinero prestado para hacer caja, perdida de ingresos por ventas no realizadas, penalizaciones por no cumplir compromisos contractuales o niveles de servicio, y oportunidades perdidas durante el tiempo inoperante.
  • Regulatorio: incluye perdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones por incumplir requerimientos obligatorios en las actividades de la Organización (por ejemplo ambientales), o la obligación de tener que retirar productos en venta por falta o in suficiencia en la realización de pruebas del producto antes de ponerlo a disposición del consumidor final.
  • Reputacional o con el cliente: incluye la perdida de confianza por parte de los clientes y del mercado, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes, perdida de reputación, y perdidas de ventajas competitivas.
Una vez que el Equipo de Planeación tienen una lista de todas las actividades y sabe que pasa si no se realizan, la siguiente respuesta a obtener es que tan pronto veremos el impacto? Será tan pronto se deje de hacer una actividad? Un callcenter que sea evacuado por un posible incendio deja de funcionar inmediatamente. A menos que haya un callcenter alterno donde se pueda operar para seguir recibiendo llamadas, el impacto a los clientes es inmediato. Que tan significativo sea dicho impacto depende enteramente del negocio o actividades que maneje una Organización: cuantas llamadas se reciben y que servicio busca cada una de ellas.

A manera de ejemplo, un callcenter en promedio puede recibir 1.200 llamadas en promedio por hora, 72% de ellas finalizan con una venta de U$57 dólares, asi que haciendo cuentas 1200 x 0.72 x $57 = $49,248 cuesta cada hora de servicio que el callcenter este fuera de operación. Si los clientes o potenciales consumidores encuentran lo que desean comprar en una pagina de internet, realizan la orden y el sitio deja de funcionar, hay un impacto inmediato. El impacto depende estrictamente de la actividad que realice una Organización, de cuantas ordenes de trabajo se reciben, que cuesta cada orden, y saber si el cliente esta dispuesto a esperar a realizar su pedido hasta que se restablezca el servicio o ira a solicitarlo a otro proveedor (siempre pueden ir con la competencia!!!).


Cuando el equipo de planeación tiene la lista de actividades, una idea de que ocurre cuando dejan de ejecutarse, y en que tiempo empezaran a ver el impacto, es hora de cuantificar el impacto. Se pueden utilizar medidas cuantitativas como dólares por minuto, hora o día de inactividad, o medidas cualitativas que permitan predecir resultados basados en el conocimiento o experiencia de los miembros del equipo de planeación o compañeros de trabajo. Una vez se completa esta actividad ya tenemos una vista general de todo lo que realiza la compañía, que impacto tiene para la organización que no se ejecute un proceso o una actividad, que tan rápido se sentirá ese impacto y que tan fuerte impactara a la organización. Esta información será el punto de partida para desarrollar estrategias de recuperación para cualquier organización.


Ya con esta información recopilada, se hace necesario determinar en una escala los tiempos de recuperación óptimos. A manera de ejemplo, se puede determinar que estas son las categorías a emplear:


Categoría 1: Procesos Misionales y/o Críticos (0 a 12 horas)


  • Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas.
  • No pueden reemplazarse por métodos manuales.
  • Muy baja tolerancia a interrupciones.
Categoría 2: Vitales (13 a 24 horas)
  • Pueden realizarse manualmente por un periodo breve.
  • Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo determinado (5 ó menos días, por ejemplo).
Categoría 3: Importantes (1 a 3 días)

  • Funciones que pueden realizarse manualmente por un periodo prolongado a un costo tolerable.
  • El proceso manual puede ser complicado y requeriría de personal adicional.
Categoría 4: Menores (Mas de 3 días)
Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.


En este momento es que empezamos a hablar de los tiempos de recuperación, y entran en escena varios de ellos: RTO, RPO, MTD y WRT. Vamos con cada uno de ellos:


Los RTO y RPO, son parámetros específicos que están íntimamente relacionados con la Recuperación de Desastres y tienen que ser tomados en consideración para que un plan de este tipo pueda ser implementado. El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en otras palabras cuanto puede permanecer la Organización sin ejecutar una actividad, el uso de una aplicación (hardware y/o software) o información relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El RTO se utiliza para decidir cada cuanto se deben realizar respaldos de información o backups; también es útil para decidir que infraestructura es requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de similares especificaciones al existente en la Organización, o un callcenter paralelo en una ubicación diferente a la que se utiliza de manera permanente. Si en su organización hay un RTO con valor CERO (no puede ser inferior a esta cifra), inevitablemente su Organización tendrá que contar con una infraestructura redundante con respaldos de información en sitios alternos y así sucesivamente. Ahora, si se tiene un RTO de 48 o 72 horas entonces un respaldo de información en cinta será suficiente para esa aplicación en particular.

El RPO es ligeramente diferente. Este parámetro nos dice que cantidad de información puede la Organización perder. En otras palabras, si su organización realiza respaldos nocturnos de información todos los días a las 7:00 PM y el sistema colapsa al día siguiente a las 4:00 PM, toda actualización que se realice desde su último respaldo se perderá. El RPO para este contexto será el respaldo de información que haya realizado en el día anterior. Ahora, si estamos hablando de un banco que hace transacciones en Internet, el RPO debe ser prácticamente igual a cero, incluyendo la última transacción y el último bit de información que se haya manejado. Así las cosas, el RPO nos dice que clase de protección se requiere para la información que se maneja en su Organización.

Así las cosas, el RTO y el RPO influyen por completo en la infraestructura de soporte y respaldo que vaya a utilizar en su organización. Entre mas se reduzca e RTO y el RPO, mas dinero debe invertirse en seguridad.


Maximum Tolerable Downtime (MTD) o Maximum Tolerable Outage (MTO) Tal como suena, es el tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de una función o proceso. Diferentes procesos o tareas dentro de la organización pueden tener diferentes MTD. Si una función de la Organización esta categorizada dentro de la Categoría 1, obviamente tiene el MTD mas corto. Hay una correlación entre la criticidad de las funciones o procesos de la organización y su tiempo máximo de inactividad. A mayor criticidad, menor tiempo de espera a que se reinicie la operación en ese proceso o función. El tiempo de caída o de inoperancia se constituye por dos elementos: el tiempo de recuperación del sistema y el tiempo de trabajo en recuperación o WRT. Así las cosas, MTD = RTO + WRT.

Work Recovery Time (WRT) Tiempo de trabajo en Recuperación. Este segmento comprende el máximo tiempo de inactividad posible o MTD. Si su MTD es de 3 días, probablemente el día 1 sea el RTO y los dias 2 y 3 pueden ser los WRT. Como es de esperar, toma tiempo hacer que las funciones criticas de la Organización estén nuevamente operando (hardware, software, configuraciones necesarias, etc), y este es un tema que usualmente se ignora en las etapas de planeación, especialmente por Sistemas o IT. Si los sistemas están nuevamente funcionando, eso es todo desde la perspectiva de sistemas o IT. Pero que ocurre desde una perspectiva de negocios? Hay pasos adicionales a tenerse en cuenta antes de que los sistemas estén operando como conseguir una ubicación alterna, conseguir los equipos, conexión a banda ancha, etc, etc y que tienen que ser obligatoriamente contemplados en la definición del MTD; y si no se tiene en cuenta se esta poniendo en riesgo a la organización al no haber tomado tales tiempos en consideración.

Veamos como interactúan estos tiempos:




Punto 1: RPO La máxima cantidad de información que se puede perder de acuerdo al cronograma de realización de copias de respaldo y/o necesidades de información que se presenten.
Punto 2: RTO Tiempo requerido para que los sistemas críticos de la Organización estén nuevamente operando

Punto 3: WRT Tiempo requerido para recuperar la información perdida (Basado en el RPO), así como de ingresar al sistema todos los datos que se generaron durante la caída del sistema.

Punto 2 y 3: MTD La duración del RTO mas el WRT
Punto 4: Pruebas, verificación e inicio normal de operaciones


Durante la ejecución normal de operaciones, usualmente hay una diferencia entre el último respaldo de información realizado y el estado actual de la información. En algunos casos, este lapso puede ser de minutos u horas, pero en la mayoría de casos siempre será de horas o días. Este marco de tiempo es el punto objetivo de recuperación. En muchas organizaciones este es precisamente el lapso de tiempo que existe entre cada una de las copias de respaldo que realizan. Observando el circulo con el numero 1 se aprecia la diferencia existente entre la realización de la ultima copia de respaldo y el estado actual de la información, justo antes de la caída del sistema. Ese es el momento en el cual uno o más de los sistemas críticos dejan de estar disponible y se inicia el Plan de Continuidad y/o de Recuperación de Desastres. La primera fase del MTD (tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de una función o proceso) es el objetivo a cumplir. En este marco de tiempo los sistemas se evalúan, reparan, reemplazan y reconfiguran. El RTO finaliza cuando los sistemas nuevamente están en línea y la información es recuperada hasta el último respaldo de información disponible. Justo allí es cuando empieza la segunda fase del MTD.


Es en esta fase cuando la información es recuperada através de procesos automatizados y/o manuales. Hay dos elementos en la recuperación de información, el primero es la restauración de la información perdida, y la segunda es la carga de la información recopilada de manera "artesanal" por que no había manera de ingresarla al sistema. La mayoría de empresas realizan las dos fases mencionadas en ese mismo orden, pero habrá casos en los que el Plan de Recuperación pueda dictar lo contrario. Aquí la clave es entender que hay un retraso entre el momento en que los sistemas vuelven a estar completamente operativos y el momento en el que se pueden reasumir las operaciones normales. Durante los periodos indicados con los círculos con los números 2 y 3, se hará el trabajo con mecanismos alternos y/o manuales. Estos procesos se reactivaran posteriormente de acuerdo a lo que se defina en el Plan de continuidad. Por ejemplo, si una base de datos financiera esta inaccesible, como se podrán registrar los pagos, las ventas, y todas las actividades relacionadas por todo el equipo de trabajo? Es necesario definir eso en el proceso de planeación. El Circulo con el Numero 4 indica la transición entre recuperación de desastre y continuidad del negocio de nuevo hasta la operación normal. Es probable encontrar que sea necesario realizar procesos manuales que deberían ser automatizados, pudiendo planear el regreso a la normalidad por quizás departamentos de la organización o zonas geográficas.

Para finalizar, los dejo con un diagrama que explica las entradas y las salidas de un BIA:

2 comentarios:

Serdian dijo...

Realmente excelente el tema y el contenido. Es obvio el conocimiento que tiene en el tema. Quisiera saber si tienes una Guía "step by Step" para efectuar el DRP / BRP / Y BCM y cual sería su costo.
Vivo en Bogotá Colombia y soy consultor de riesgos, pero quiero estar actualizado y tener mi guía personal.
favor escribirme a serdian@cable.net.co

Leonardo Camelo dijo...

Hola Serdian

Lamentablemente aun no he escrito mi propia guia para el desarrollo del DRP, y manejo mas que nada los formatos que he desarrollado a lo largo de mi experiencia con los SGSI.

Ahora, te recomiendo le des una visita a la entrada de este mismo blog titulada: "Libros recomendados para implementar un Sistema de Gestion de Seguridad de la informacion", de donde te recomendaria especialmente el libro de Alberto G Alexander.