Uso del riesgo residual para comprender la eficacia del programa

16 Abr 2020

La forma más sencilla de determinar si un programa es ejecutable es medir el nivel de riesgo residual a través de sus planes críticos de recuperación. ¿Qué es el riesgo residual? El riesgo residual es el riesgo que permanece después de se han hecho todos los esfuerzos para identificar y eliminar el riesgo (es decir, sus controles de mitigación).

 

¿Qué es el riesgo residual?

El concepto de riesgo residual ha existido durante muchos años, pero generalmente no se ha aplicado al campo de la Continuidad de Negocios. Al medir el riesgo residual, puede identificar y cuantificar las áreas específicas que limitan la capacidad y recuperabilidad de sus planes de recuperación.

 

¿Por Qué Medir El Riesgo Residual A Nivel Del Plan De Recuperación?

Hay dos razones para medir el riesgo residual a nivel del plan de recuperación. Primero, te da una idea de lo que está sucediendo en el nivel más bajo de su organización desde una perspectiva de recuperación. En segundo lugar, le permite construir una base sólida sobre la que puede construir a medida que recoge la cantidad de riesgo hasta el nivel del departamento y la empresa.

Al medir el riesgo en el nivel del plan de recuperación, usted selecciona áreas específicas de riesgo y hace fácil acumular el riesgo residual por atributos tales como objetivo de tiempo de recuperación (RTO), instalación, ciudad o división. Esto le permite decirle a la gerencia que su riesgo es muy bajo o alto. Esta puntuación fundamental proporciona datos hermosos, exponiendo realmente dónde están las cosas con sus planes y organización.

Imagine los beneficios de poder ir a la gerencia y darles el nivel de riesgo residual por ciudad, edificio y RTO. Tener los datos correctos lo ayudará a:

  • Defender sus recursos (dinero, personas, tiempo)
  • Defender la manera en que se utilizan sus recursos
  • Mejorar el soporte para sus planes de recuperación existentes
  • Impulsar decisiones de financiación para nuevos proyectos e iniciativas para minimizar el riesgo y aumentar la recuperabilidad
  • Demostrar las contribuciones de su equipo a la organización

¿Dónde Debe Centrar Su Análisis De Riesgo Residual?

Recomendamos que al analizar su riesgo residual se concentre en evaluar el riesgo para los planes de recuperación más críticos para su organización. ¿Qué sistemas necesita tener funcionando dentro de las 72 horas o menos de una interrupción? Haga todo lo posible para reducir el riesgo residual de estos planes.

 

¿Cuáles Son Los Componentes Clave Del Riesgo Residual?

Los siguientes componentes son clave para determinar el riesgo residual:

  • Riesgo inherente. El riesgo inherente es la cantidad de impacto potencial que enfrenta la compañía antes de implementar un plan de recuperación u otros controles de mitigación.
  • Tolerancia al riesgo. Nivel máximo de riesgo que la gerencia aceptará.
  • Controles atenuantes. Controles como un análisis de impacto al negocio (BIA), estrategia de recuperación, ejercicios de recuperación y planes de recuperación que se implementan para evitar el riesgo o disminuir el impacto. Evaluará la calidad de los controles atenuantes del plan para determinar el riesgo residual.

 

¿Qué Nos Dicen Los Datos De Riesgo Residual?

Los datos de riesgo residual proporcionarán información sobre dónde se encuentran sus logros y oportunidades de mejora de salida a nivel de plan de recuperación y de empresa. Te ayudará a responder importantes preguntas:

  • ¿Nuestro BIA está completo y alineado con TI y sus capacidades de recuperación?
  • ¿Nuestros planes están documentados y son consistentes con las mejores prácticas de la industria?
  • ¿Son nuestras estrategias de recuperación capaces de recuperar los procesos o sistemas? ¿Son consistentes con lo que pide el BIA? (Nota: este es el problema más común con programas de BCM Corporativos.)
  • ¿Estamos haciendo el nivel correcto de prueba, en términos de igualar la intensidad de la prueba (por ejemplo, de escritorio versus funcional) a la criticidad de la actividad?
  • ¿Hemos mitigado el riesgo del proveedor externo en la mayor medida posible?
  • ¿Nuestros equipos de recuperación están debidamente capacitados?

Tener este conocimiento le permitirá buscar los recursos necesarios para fortalecer los controles que son más críticos para sus planes de recuperación. Asegurará que el riesgo residual de sus planes esté dentro de la tolerancia al riesgo de la gerencia.

 

Para Llevar…

  • La mejor manera de evaluar la solidez de sus planes de recuperación es midiendo los riesgos residuales.
  • El riesgo residual debe medirse a nivel del plan de recuperación.
  • Enfoque su análisis de riesgos en los sistemas que necesita tener en funcionamiento dentro de las 72 horas de una interrupción.

Los datos de riesgo residual proporcionarán información sobre dónde se encuentran sus oportunidades de mejora a nivel de plan de recuperación y empresa.

Michael Herrera

SOBRE EL AUTOR

Michael Herrera es el CEO de MHA Consulting, una empresa líder en BCM y consultoría de TI. Fundador de BCMMetrics, que se especializa en software para CN diseñado para ayudar a las organizaciones a desarrollar y ejecutar programas de Continuidad de Negocio.

COMPARTIR

ÚLTIMOS ARTÍCULOS

Herramientas de Ciberseguridad a aplicar para cada función de la nueva versión de NIST CSF 2 y recomendaciones para maximizar la inversión

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

De reactivo a proactivo: Elaboración de una estrategia de recuperación ante desastres preparada para el futuro

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Terremotos: predecir lo impredecible

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Desinformación sobre desastres

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Predicciones de seguridad y ciberseguridad para 2024

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>

Lecciones posteriores al desastre: qué se debe aprender y cómo

Durante el punto álgido de la pandemia, la mayoría de las organizaciones dejaron de realizar viajes de negocios por completo. Otros elevaron la autorización para viajes relacionados con negocios a los niveles más altos de C-Suite, asegurando una visión de arriba hacia abajo de los costos y las posibles ramificaciones reputacionales de viajar cuando otros no lo hacían.

Leer Más >>