Cómo: Evaluar eficazmente su programa de continuidad de negocio

En las primeras fases del desarrollo de un programa de continuidad de negocio, un alcance cuidadoso y pragmático puede suponer la diferencia entre unas ganancias rápidas y adecuadas y un esfuerzo de planificación interminable con poca capacidad. Las organizaciones suelen crear programas debido a los requisitos de los clientes y/o de las normativas; sin embargo, en lugar de tomarse el tiempo necesario para delimitar y priorizar cuidadosamente el esfuerzo de continuidad del negocio (y proporcionar los recursos correspondientes), las organizaciones suelen adoptar un enfoque de planificación de "todo o nada": planificar cada "casilla del organigrama", cada instalación, cada aplicación y cada recurso. Muchas organizaciones no se dan cuenta de que la continuidad de la actividad puede, y a menudo debe, dirigirse inicialmente a los productos y servicios más críticos/sensibles en el tiempo de una organización, ampliándose a otras partes de la organización con el tiempo.

Un alcance adecuado permite a una organización planificar eficazmente un incidente perturbador. Además, la definición del alcance permite a una organización dar prioridad a los productos y servicios críticos durante la implementación inicial de la continuidad del negocio y ampliar el programa a áreas menos críticas con el tiempo. Lo ideal es que una organización defina el alcance de la continuidad del negocio basándose en los siguientes factores, que se analizan con más detalle a lo largo de este artículo:

1. Requisitos de las partes interesadas
2. Productos y servicios
3. Apetito de riesgo

Entender los requisitos
Lo más importante es que un programa de continuidad de negocio eficazmente definido tiene en cuenta los requisitos de las partes interesadas. Las partes interesadas son los clientes, los reguladores, la dirección y otras partes interesadas. Cada grupo de partes interesadas tiene expectativas y, para ser eficaz, la continuidad de la actividad debe abordar y proteger a una organización de la violación de estas expectativas. Por lo tanto, una organización debe diseñar su programa de continuidad del negocio para protegerse de los impactos de la violación de los requisitos clave, tales como:

• Obligaciones contractuales (acuerdos de nivel de servicio)
• Requisitos reglamentarios
• Promesas de los clientes
• Compromisos de los empleados
• Requisitos de salud/seguridad

Aunque los requisitos varían enormemente en función de una serie de factores, a una organización le resultará extremadamente difícil priorizar, y mucho menos crear y mantener un programa de continuidad de negocio eficaz, sin entender sus requisitos. Además, una vez comprendidos los requisitos, una organización puede documentar un conjunto específico y adecuado de objetivos de continuidad del negocio.

Definir productos y servicios
Después de comprender sus obligaciones y establecer los objetivos de continuidad de la actividad, una organización puede avanzar en el esfuerzo de determinación del alcance comprendiendo y evaluando sus productos y servicios (resultados beneficiosos proporcionados por una organización a sus clientes, destinatarios y partes interesadas - ISO 22301) entregados a cada grupo de interés relevante. Definir los productos y servicios es una forma eficaz de gestionar el esfuerzo de alcance a nivel estratégico porque los productos y servicios son fácilmente comprensibles para la dirección, los empleados, los reguladores y los clientes. Crean valor. Después de que una organización haga un inventario de sus productos y servicios, debe determinar si una interrupción de cada producto y servicio provocaría la incapacidad de cumplir los requisitos de la organización y/o los objetivos de continuidad de la actividad (como se ha descrito anteriormente), o tendría consecuencias inaceptables. Aquellos productos y servicios que, de interrumpirse, darían lugar a un incumplimiento de las obligaciones o a consecuencias inaceptables, deben considerarse en su ámbito, junto con todos los departamentos, actividades y recursos de apoyo.

Una vez que la organización define una lista de productos y servicios "incluidos", puede y debe recuperar el organigrama y comenzar a asignar los departamentos o unidades de negocio a estos productos y servicios (recordando que no se incluirán todos los departamentos). Este ejercicio permite a la organización empezar a entender y priorizar las áreas críticas de la empresa que deben ser abordadas por la continuidad de la actividad y también proporciona una visión del tiempo y los recursos necesarios para implementar la continuidad de la actividad. Una vez finalizada esta actividad, la organización debería conocer los productos y servicios incluidos en el ámbito de aplicación, así como una lista o "mapa" de los departamentos que apoyan o prestan estos productos y servicios.

El siguiente gráfico ilustra la relación entre productos y servicios, departamentos, actividades y recursos. Nota: Avalution recomienda identificar las actividades y los recursos durante el análisis del impacto empresarialno durante el esfuerzo de alcance.

Definir el apetito de riesgo
En este punto del esfuerzo de determinación del alcance, una organización debe tener una clara comprensión de los requisitos y objetivos de la continuidad del negocio, así como un inventario inicial de los productos, servicios y departamentos incluidos en el alcance.

La última actividad del proceso de determinación del alcance es definir el apetito de riesgo de una organización (los impactos que una organización no está dispuesta a tolerar o que se consideran inaceptables). Para llegar a un consenso sobre este tema, la organización debe aprovechar la información de las dos actividades anteriores y presentar a la dirección los posibles impactos asociados a la incapacidad de suministrar los productos y servicios incluidos en el alcance. A continuación, la dirección debe orientar sobre qué impactos son inaceptables, para incluir la cantidad de tiempo de inactividad que la organización está dispuesta a tolerar.

Aunque los impactos potenciales varían según las organizaciones y los sectores, las siguientes categorías son un buen punto de partida para comprender y definir los impactos potenciales asociados a un incidente perturbador:

• Impacto normativo
• Impactos legales y/o contractuales
• Impacto en los clientes
• Impactos financieros
• Impactos operativos
• Impacto en la reputación

Basándose en la orientación proporcionada por la dirección, una organización puede definir y documentar formalmente su apetito de riesgo utilizando criterios que describan el impacto que es inaceptable. El tiempo de inactividad asociado a los productos y servicios, los departamentos y los recursos que puedan exceder el apetito de riesgo de una organización debe estar en el ámbito del programa de continuidad del negocio.

Conclusión
Sobre la base de los requisitos y obligaciones, la importancia de los productos y servicios de la organización, y un apetito de riesgo documentado, una organización puede documentar una declaración de alcance formal que establezca los límites del esfuerzo de continuidad del negocio.

Las organizaciones a menudo se encuentran desarrollando, o tratando de mantener, programas de continuidad de negocio, sin una comprensión o definición formal del alcance del programa. Esto da lugar a una serie de problemas, como una mala asignación de recursos, objetivos de preparación mal definidos, incapacidad para mantener las estrategias de recuperación y dificultad para aplicar la política. Un alcance eficaz no sólo permite centrarse, sino que formaliza los objetivos de continuidad del negocio, define los productos y servicios incluidos y facilita el acuerdo sobre el apetito de riesgo.

En pocas palabras, la determinación eficaz del alcance es una de las formas más seguras de evitar (o abordar) los programas de continuidad del negocio ineficaces y de alinear el alcance de un programa con las expectativas de las partes interesadas.

La continuidad del negocio y la planificación de la recuperación de desastres de TI es todo lo que hacemos. Si busca ayuda para crear o mejorar su programa de continuidad del negocio, podemos ayudarle.