La tecnología sustenta prácticamente todos los procesos de negocio. Ya se trate de operaciones de cara al cliente, como el procesamiento de pedidos, o de funciones internas, como la nómina, la tecnología es fundamental para la Continuidad del Negocio. Por ello, el componente de TI de sus planes de Continuidad del Negocio y Recuperación ante Desastres (BC/DR) es una prioridad fundamental.

Este artículo explora cómo las organizaciones pueden garantizar que sus objetivos de tiempo de recuperación de TI (RTO) y el gasto en Recuperación ante Desastres (DR) se alineen con las necesidades del negocio aprovechando los conocimientos del Análisis de Impacto al Negocio (BIA), abordando los desafíos en la visibilidad de los activos de TI y optimizando los procesos de DR de TI.

El papel del Análisis de Impacto al Negocio

En esencia, un BIA se centra en comprender y priorizar los riesgos y procesos del negocio. Identifica las capacidades operativas críticas para una organización (también conocidas como funciones de negocio críticas) y cuantifica el impacto financiero y operativo de las interrupciones de esas funciones.

Desde un punto de vista tecnológico, esto significa identificar las dependencias que sustentan los procesos de negocio, cuantificar el costo del tiempo de inactividad y establecer la duración máxima aceptable para la recuperación. Estos conocimientos proporcionan una base para priorizar la planificación de recuperación ante desastres de TI y tomar decisiones informadas sobre la asignación de recursos.

Principales desafíos en la alineación de la recuperación ante desastres de TI con BIA

Alinear la recuperación ante desastres de TI con las necesidades de la empresa suele ser un desafío debido a la falta de visibilidad de la infraestructura de TI, las diferentes perspectivas entre los equipos de TI y de la empresa y un mapeo incompleto de los activos de TI. Las grandes organizaciones suelen tener entornos de TI muy complejos que combinan sistemas locales y basados ​​en la nube. La TI en la sombra, en la que se adoptan herramientas y sistemas sin supervisión de TI, agrava el problema. Como resultado, la mayoría de las organizaciones tienen conocimiento de solo alrededor del 80 % de sus activos de TI, si es que lo tienen, lo que deja lagunas críticas en su comprensión.

Este problema se ve agravado por el hecho de que los equipos de TI tienden a centrarse en activos técnicos como servidores y dispositivos, mientras que los equipos de negocio piensan en términos de capacidades y resultados operativos. Esta desconexión puede dificultar la realización de evaluaciones de riesgos eficaces. Los inventarios de activos tradicionales a menudo no tienen en cuenta las dependencias, los activos externos o los recursos dinámicos como los contenedores. La infraestructura compartida o de toda la organización que es fundamental para múltiples funciones de negocio a menudo carece de una propiedad clara a nivel de negocio, lo que genera información incompleta durante la planificación de recuperación ante desastres de TI. Las investigaciones muestran que las organizaciones suelen conocer solo el 30 % de la infraestructura que respalda una función de negocio determinada.

Estas brechas dificultan la determinación del nivel apropiado de soluciones de respaldo y recuperación necesarias para cumplir con los RTO y complican la evaluación de los riesgos de ciberseguridad, que es un problema separado pero relacionado.

Costos de Recuperación ante Desastres de TI y argumentos a favor de una inversión estratégica

Los costos de recuperación ante desastres de TI generalmente se dividen en tres categorías: costos de personal, costos de tecnología y costos de tiempo de inactividad.

• Los costos de personal incluyen el tiempo y la experiencia necesarios para mapear la infraestructura, configurar copias de seguridad, realizar pruebas y restaurar sistemas cuando ocurren interrupciones.
• Los costos de tecnología implican gastos directos en soluciones de respaldo y herramientas de recuperación de nivel de negocio, que pueden ser considerables.
• Los costos de inactividad se refieren al impacto financiero de cada minuto de interrupción del negocio.

Si bien no es factible para la mayoría de las organizaciones habilitar la conmutación por error inmediata para cada sistema, la priorización cuidadosa del RTO permite realizar gastos rentables. Al concentrar los recursos en la infraestructura necesaria para respaldar las funciones de negocio más críticas, las organizaciones pueden minimizar los costos de tiempo de inactividad y, al mismo tiempo, garantizar la continuidad.

Pasos para optimizar el gasto en recuperación ante desastres de TI y alinearlo con BIA

Para abordar estos desafíos y optimizar el gasto en recuperación ante desastres de TI, las organizaciones necesitan un enfoque estructurado:

1. Crea un inventario completo de activos de TI
   • Incluye sistemas de terceros: muchas funciones de negocio críticas dependen de servicios o plataformas de terceros. Asegúrate de que formen parte del inventario.
   • Captura activos dinámicos: realiza un seguimiento de componentes dinámicos como contenedores y recursos efímeros en la nube.
   • Asegúrate de que esté completo: el inventario debe abarcar todos los activos de TI (TI, OT, IoT) que interactúan con otros en diferentes entornos (locales, en la nube, virtualizados, contenedores). Agregar datos de los sistemas existentes es un comienzo, pero no es suficiente.
2. Utiliza la automatización basada en datos para asignar activos de TI a funciones de negocio
   • Identifica dependencias: vincula cada activo de TI con los procesos de negocio que respalda, incluida la infraestructura subyacente y los componentes externos.
   • Analiza puntos únicos de falla: identifica y aborda dependencias críticas para mejorar la resiliencia general.
3. Establece niveles de recuperación
   • Prioriza en función del BIA: utiliza los hallazgos del BIA para clasificar las funciones de negocio según su impacto financiero y operativo.
   • Establece RTO escalonados: asigna prioridades y plazos de recuperación a cada nivel.
4. Elije e implementa soluciones de recuperación ante desastres adecuadas
   • Alinea las soluciones con los niveles de recuperación: selecciona herramientas de respaldo y recuperación capaces de cumplir con los RTO para cada nivel.
   • Ve más allá de la copia de seguridad de datos: incluye la infraestructura y los sistemas necesarios para respaldar la recuperación.
   • Busca aportes de expertos: aprovecha los informes de analistas y los comentarios de sus pares para evaluar las soluciones.
5. Prueba y documenta tu plan de recuperación ante desastres
   • Realiza pruebas a gran escala: prueba periódicamente todo el plan de recuperación ante desastres para garantizar que cumpla con los RTO para todas las funciones de negocio.
   • Resultados del documento: comparte los resultados de las pruebas con las partes interesadas y los auditores para demostrar la preparación.
6. Da mantenimiento y actualiza continuamente
   • Seguimiento de cambios: mantén actualizados el inventario de activos de TI y las asignaciones de funciones de negocio.
   • Ajusta los planes de recuperación ante desastres según sea necesario: asegúrate de que las soluciones de recuperación permanezcan alineadas con las necesidades del negocio cambiantes.

Los beneficios de alinear la recuperación ante desastres de TI con BIA

La alineación del gasto en recuperación ante desastres de TI con los conocimientos de BIA ofrece varias ventajas. Minimiza los costos de tiempo de inactividad al concentrar los esfuerzos en las funciones del negocio más críticas, mejora la resiliencia al abordar puntos únicos de falla y demuestra el cumplimiento de los requisitos regulatorios, en particular en industrias como los servicios financieros. Una estrategia de recuperación ante desastres de TI bien alineada genera confianza organizacional al mostrarles a las partes interesadas que la empresa está preparada para las interrupciones.

Conclusión

Al desarrollar una comprensión integral de los activos de TI, asignarlos a funciones del negocio y establecer prioridades de recuperación escalonadas, las organizaciones pueden optimizar sus inversiones en DR y, al mismo tiempo, garantizar la continuidad del negocio.

Cuando ocurra la próxima interrupción, esta planificación meticulosa dará sus frutos, minimizando el tiempo de inactividad, controlando los costos y protegiendo al negocio de interrupciones significativas.