Preparándose para un BIA
Entonces, has convencido a la gerencia para que te permita hacer un BIA. ¡Felicidades! Sin embargo, si tienes la tentación de iniciar de inmediato y comenzar a programar entrevistas, espero que te detengas un momento.
Un análisis de impacto al negocio adecuado requiere preparación. No saltarías a la piscina sin ponerte una ropa de baño, o al menos sacar todo de tus bolsillos, y se requieren medidas similares antes de comenzar con un BIA. Prepararse para un BIA es fundamental para su éxito.
En este artículo, vamos a resumir el trabajo de preparación necesario para llevar a cabo un BIA sólido, uno que valga la pena y genere resultados tangibles.
Determine su estrategia para el BIA
El primer paso para prepararse para un BIA es determinar su estrategia. Hay cuatro para elegir:
BIA formal. Esto es lo que la mayoría de la gente tiene en mente cuando habla de BIA. Un BIA formal utiliza un proceso de varias fases que consiste en entrevistar a las partes interesadas; elegir y ponderar las categorías de impacto; calcular los objetivos de tiempo de recuperación (RTO); y revisar y discutir dependencias, aplicaciones y objetivos de punto de recuperación (RPO). Este proceso proporciona los resultados más precisos y completos y es el que tiene más probabilidades de descubrir exposiciones pasadas por alto, pero es el que más tiempo y recursos requiere.
BIA informal. Esta estrategia utiliza entrevistas rápidas e informales donde los participantes, en lugar de asignar puntajes a los diversos impactos, discuten cuándo un proceso debe ser funcional y por qué. Las discusiones también pueden analizar las aplicaciones necesarias y tienden a centrarse solo en las dependencias críticas.
BIA basado en cuestionarios. Esta estrategia consiste en obtener la información necesaria a través de un cuestionario, dando seguimiento a los encuestados según sea necesario. Al usar este método, se debe tener cuidado con la preparación del cuestionario para asegurarse de que solicite toda la información deseada. Dichos cuestionarios típicamente intentan adquirir información similar a la reunida en la entrevista informal.
BIA híbrido. Esta estrategia implica el uso de una combinación de procesos formales e informales, variando el método por departamento. El método que se utiliza se decide en función de factores tales como la criticidad del departamento, si se reorganizó recientemente y cuándo se realizó su BIA más reciente.
La mayoría de las organizaciones eligen su estrategia considerando factores tales como cuánto tiempo ha pasado desde el BIA anterior, el grado de apoyo en la organización para realizar el BIA, el presupuesto y los recursos disponibles, y la gravedad estimada de las brechas y exposiciones de la organización.
Determine sus RTO y RPO
Otro paso en la preparación para un BIA es determinar sus objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO).
El RTO es la cantidad de tiempo, posterior a una interrupción, antes del cual se debe restaurar un proceso o una aplicación para evitar un nivel de impacto inaceptable. Por ejemplo, un RTO de ocho horas para un determinado proceso significa que ese proceso debe restaurarse dentro de las ocho horas posteriores a la interrupción para evitar un nivel de impacto que la gerencia ha considerado inaceptablemente alto.
El RPO se aplica a los procesos que implican el almacenamiento de datos. Es el período de tiempo máximo por el cual la administración está dispuesta a aceptar la pérdida de datos para un proceso determinado. Por ejemplo, un RPO de una hora para un proceso significaría que se deben implementar medidas para proteger de forma segura sus datos (replicación o copia de seguridad) al menos una vez cada hora, porque la administración ha determinado que las pérdidas de datos superiores a una hora para ese proceso crearían un impacto negativo inaceptablemente alto en la empresa.
Aquí hay algunas cosas para tener en cuenta sobre los RTO y los RPO en relación con los BIA:
- Antes de realizar el BIA, asegúrese de que las categorías de RTO y RPO hayan sido definidas y aprobadas por la gerencia adecuada.
- Asegúrese de que las personas que participan en el BIA comprendan los conceptos de RTO y RPO y tengan la información pertinente sobre los valores seleccionados.
- Tenga cuidado de no definir demasiados valores para RTO y RPO.
- Las categorías se utilizan para definir estrategias de recuperación y comprender el tiempo necesario para la recuperación.
- Desde la perspectiva de una estrategia de recuperación, realmente no hay diferencia entre un RTO de «< 12 horas» y «< 8 horas».
- Lo mismo ocurre con la estrategia de protección de datos. Hay una diferencia significativa entre un RPO de «pérdida de datos cero» y «pérdida de datos < 4 horas», pero no hay diferencia significativa «< 8 horas» y «< 4 horas».
- Si un proceso necesita un RTO o RPO que es menor que la categoría definida, anótelo como parte de la información BIA. Por ejemplo, un proceso que debe estar disponible en 8 horas (pero no en 4 horas) sigue siendo un RTO de «< 12 horas». Tenga en cuenta la solicitud o requisito. No cree una nueva categoría.
Las siguientes tablas dan ejemplos de las categorías RTO y RPO que se utilizan normalmente en los BIA:
Determine las categorías y rangos de puntuación
El próximo paso en sus preparativos será determinar sus categorías de impacto y su puntuación y rangos.
Las siguientes tablas dan ejemplos de la puntuación de las categorías de impacto cualitativas y cuantitativas, como las que se utilizarían en un BIA formal. Este enfoque podría modificarse o reducirse para su uso en un BIA informal o basado en cuestionarios.
Para la categoría cuantitativa, determine el rango de dólares para cada puntaje. Esto será diferente para cada organización.
El rango de dólares a menudo se basa en los ingresos de la organización y cuánto está dispuesta a perder, y la cantidad luego se desglosa de manera relativamente uniforme entre los valores de puntuación.
Determine los Departamentos y Participantes
Otro paso importante para prepararse para realizar su BIA es determinar qué departamentos e individuos participarán.
Idealmente, su BIA incluiría todos los departamentos de la organización; sin embargo, las limitaciones de tiempo y presupuesto pueden hacer que esto sea inviable.
Si este es el caso, deberá identificar los procesos y departamentos más críticos.
Si está realizando un BIA híbrido, puede decidir realizar BIA formales para los departamentos considerados críticos e informales para los departamentos considerados menos críticos (en términos de su sensibilidad de tiempo en caso de una interrupción).
Una vez que haya seleccionado los departamentos para los que llevará a cabo BIA, deberá identificar a qué personas de cada departamento se pondrá en contacto.
Incluya tanto a la gerencia como a los colaboradores individuales, pero no intente incluir a todas las personas que realizan un proceso o en un departamento.
Trate de seleccionar personas que sean capaces de ver el impacto que tiene el proceso en toda la organización.
Elabore el Cuestionario o Documento de Trabajo Previo
Ya sea que esté realizando un BIA formal o informal, le recomendamos que desarrolle un cuestionario o un documento de «trabajo previo» para que los departamentos lo completen antes de la entrevista para ayudar a facilitar la discusión.
Asegúrese de que el documento haga las preguntas correctas y solicite un nivel adecuado de detalle e información. También debe incluir un ejemplo que muestre cómo completar el documento.
Especialmente importante es el nivel de granularidad de los procesos de negocio. Asegúrese de que los procesos cubiertos en su documento previo al trabajo sean procesos del negocio funcionales, no tipos de eventos de interrupción, tareas de trabajo o tareas de recuperación.
La preparación es la clave del éxito
Independientemente de la estrategia de BIA que utilice, la preparación para un BIA es la clave para que sea eficiente y eficaz.
Como reflexión final, cuando se trata de BIA, algo es mejor que nada. Incluso una discusión informal sobre las necesidades de RTO del proceso y las aplicaciones requeridas le brindará la información necesaria para desarrollar una estrategia básica, además de brindarle a TI información que puede usar para comenzar con la estrategia de recuperación de tecnología.
¡Buena suerte con tu BIA!
Para llevar…
- El primer paso para prepararse para un BIA es elegir una de las cuatro estrategias disponibles: formal, informal, basada en cuestionarios o híbrida.
- El siguiente paso es determinar sus RTO y RPO.
- Otros pasos incluyen determinar sus categorías de impacto y rangos de puntuación, identificar qué departamentos e individuos participarán y desarrollar el cuestionario de trabajo previo.
- La preparación de calidad es la clave del éxito.
Michael Herrera
Es el director ejecutivo de MHA Consulting, una empresa líder en consultoría de tecnología de la información y planificación de la continuidad del negocio. Herrera es el fundador de BCMMetrics, que se especializa en software de continuidad del negocio diseñado para ayudar a las organizaciones a desarrollar y ejecutar programas de continuidad del negocio.
Richard Long
Es consultor senior de asesoría y líder del equipo de MHA Consulting, donde ha liderado exitosamente proyectos internacionales y nacionales de recuperación de desastres, evaluación de tecnología, gestión de crisis y mitigación de riesgos.