Fase II. Conocimiento de los procesos de negocio de la organización y análisis de riesgos. Continuidad de Negocio

Identificados los objetivos y el alcance de la gestión de continuidad de negocio
a través de la citada Política de Continuidad de Negocio, la empresa debe:

a.  Importante Identificar productos y servicios claves, así como las actividades y recursos críticos que los soportan.

b. Estimar el impacto y las consecuencias de los posibles fallos en esas actividades y recursos críticos.

c. Identificar y valorar los riesgos que podrían interrumpir la entrega de los productos y   servicios de la empresa, así como de los recursos sobre losque están soportados.

d. La externalización de determinados servicios u operaciones abre un nuevo ámbito de gestión, ya que es frecuente que la responsabilidad de continuidad de negocio para los servicios externalizados no sea transferida al proveedor o tercero.

En cuanto a las actividades, a modo de ejemplo, se presenta una tabla que incluye que las actividades de negocio de una organización y que podría servir como punto de arranque del trabajo de identificar y conocer en detalle todas las operaciones de negocio
de la organización:

 

actividad1

Es necesario que las empresas realicen el esfuerzo de identificar y valorar el impacto que podría tener en la organización si una actividad se paralizase, así como el tiempo de interrupción que puede ser soportado por la organización hasta que las pérdidas no sean asumibles (tiempo máximo permitido de interrupción o MTD por sus siglas en inglés).

En este punto es necesario destacar que el impacto total asociado a la paralización de alguna actividad de la organización depende de varios factores:

actividad2

Todos ellos deben ser considerados para que las conclusiones del análisis y las estimaciones sean completas y veraces.

Existen dos parámetros muy específicos que están estrechamente relacionados con la recuperación: Tiempo de Recuperación Objetivo (RTO) y Punto de Recuperación Objetivo (RPO).

El RTO establece la urgencia que las diferentes unidades de negocio precisan para volver a su funcionamiento habitual. Por tanto, determina los plazos en los que deben volver a funcionar con normalidad. Estos pueden establecerse en períodos de tiempo en función de la criticidad de los procesos y pueden ser cuestión de horas o semanas en aquellos procesos prescindibles. Por tanto, se trata de identificar el orden en que hay que tratar  de reconstruir la actividad, recuperandoantes aquellos procesos cuya paralización  suponen un mayor impacto para la organización. En una situación de crisis siempre hay recursos limitados y es necesario elegir qué hacer primero atendiendo a un criterio de negocio.

El RPO se refiere al punto más reciente en el tiempo en el que los sistemas pueden ser recuperados, reflejando por tanto cuánta es la cantidad de información que una organización puede permitirse perder sin que le afecte negativamente.

Por tanto, el RPO determina la periodicidad con la que deben salvaguardarse los datos para todos aquellos procesos de negocio.  Cuanto más cortos son el RTO y el RPO, más complejos y caros son los planes de continuidad de negocio.

Con respecto al análisis de riesgo ¿Con qué probabilidad puede ocurrir un desastre o una interrupción severa de mis servicios o actividades críticas?.  El alcance del proceso de análisis de riesgos enmarcado en la implantación de un plan de continuidad de negocio es acotado, ya que la organización debe tener presente los factores y la probabilidad que pueden desencadenar una interrupción de sus actividades críticas.

El análisis de riesgos consiste en identificar las amenazas sobre estos activos y su probabilidad de ocurrencia, las vulnerabilidades asociadas a cada activo y el impacto que las citadas amenazas pueden provocar sobre la disponibilidad de los mismos.Si bien existen diversas metodologías de análisis de riesgos (MAGERIT, OCTAVE), e incluso herramientas que ayudan a automatizar el proceso (EAR/PILAR), todas ellas siguen la siguiente secuencia de acción:

  • Identificar activos: para cada una de las actividades críticas de la organización, es necesario identificar y valorar los activos involucrados.
  • Identificar y evaluar las amenazas sobre los activos identificados previamente y su probabilidad de que sucedan. Aunque existen diversas tipologías de amenazas, algunos ejemplos de ellas son fuego, inundación, fallo eléctrico, absentismo laboral, huelgas, etc.
  • Identificar y valorar las vulnerabilidades o debilidades asociadas a los activos, las cuales pueden ser explotadas por las amenazas.
  •  Valorar el impacto resultante de que una amenaza se aproveche de una vulnerabilidad del activo y provoque daño sobre el mismo.
  • Calcular el riesgo como la probabilidad de que se produzca un impacto determinado en la organización.riesgo

¿Qué puede hacer la organización ante los riesgos que ha identificado? Existen diferentes opciones para hacer frente a los mismos:
• Aceptar el riesgo: la organización conoce el riesgo y decide asumirlo sin tomar ninguna acción al respecto, bien porque no tiene capacidad o bien porque el coste para mitigar el riesgo es desproporcionado para los beneficios que aporta.
• Transferir el riesgo: como por ejemplo a través de la subcontratación de servicios o mediante la contratación de un seguro de cobertura, de forma que si el riesgo se  materializa exista una compensación externa que lo mitigue.
• Reducir el riesgo a niveles aceptables por la organización: mediante el diseño y la implantación de controles o medidas preventivas o que atenúen los impactos y las consecuencias del mismo.
• Evitar el riesgo: mediante la eliminación del mismo (por ejemplo a través de la reingeniería de procesos o incluso suspendiendo la actividad que origina el riesgo sin penalizar los objetivos de negocio de la organización).

 

Autor: arevalomaria

Ingeniero de Sistemas, Magister en Gerencia y Tecnologia de la Informacion, Certificaciones: ITIL V3, CCNA, Microsoft Certified Professional.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s