Al principio del desarrollo de un programa de continuidad de negocio, un alcance cuidadoso y pragmático puede ser la diferencia entre las victorias rápidas y apropiadas y un esfuerzo de planificación interminable con poca capacidad. Las organizaciones suelen crear programas debido a los requisitos del cliente y/o normativos; sin embargo, en lugar de dedicar tiempo a delimitar y priorizar cuidadosamente el esfuerzo de continuidad de negocio (y proporcionar recursos en consecuencia), las organizaciones suelen adoptar un enfoque de planificación del tipo «todo o nada»: planificar para cada «casilla del organigrama», cada instalación, cada aplicación y cada recurso. Muchas organizaciones no se dan cuenta de que la continuidad de la actividad puede, y a menudo debe, abordar inicialmente los productos y servicios más críticos/sensibles en el tiempo de una organización, ampliándose a otras partes de la organización con el tiempo.

Un alcance adecuado permite a una organización planificar eficazmente un incidente perturbador. Además, un alcance eficaz permite a una organización dar prioridad a los productos y servicios críticos durante la implantación inicial de la continuidad empresarial y ampliar el programa a áreas menos críticas con el tiempo. Lo ideal es que una organización defina el alcance de la continuidad empresarial basándose en los siguientes factores, que se tratan con más detalle a lo largo del resto de este post:

  1. Requisitos de las partes interesadas
  2. Productos y servicios
  3. Apetito de riesgo

Comprender los requisitos
Lo más importante es que un programa de continuidad empresarial con un alcance eficaz tenga en cuenta los requisitos de las partes interesadas. Entre las partes interesadas están los clientes, los reguladores, la dirección y otras partes interesadas. Cada grupo de partes interesadas tiene unas expectativas y, para ser eficaz, la continuidad de la empresa debe abordar y proteger a una organización de la violación de estas expectativas. Por tanto, una organización debe diseñar su programa de continuidad de negocio para protegerse de los impactos de la violación de requisitos clave como:

  • Obligaciones contractuales (acuerdos de nivel de servicio)
  • Requisitos reglamentarios
  • Promesas de los clientes
  • Compromisos de los empleados
  • Requisitos de salud/seguridad

Aunque los requisitos varían enormemente en función de una serie de factores, a una organización le resultará extremadamente difícil establecer prioridades, por no hablar de crear y mantener un programa eficaz de continuidad empresarial, sin comprender sus requisitos. Además, una vez comprendidos los requisitos, una organización puede documentar un conjunto específico y adecuado de objetivos de continuidad empresarial.

Definirproductos y servicios
Tras comprender sus obligaciones y establecer los objetivos de continuidad de la actividad, una organización puede avanzar en el esfuerzo de definición del alcance comprendiendo y evaluando sus productos y servicios (resultados beneficiosos que proporciona una organización a sus clientes, destinatarios y partes interesadas – ISO 22301) prestados a cada grupo de partes interesadas pertinente. Definir los productos y servicios es una forma eficaz de gestionar el esfuerzo de definición del alcance a nivel estratégico, porque los productos y servicios son fácilmente comprensibles para la dirección, los empleados, los reguladores y los clientes. ¡Crean valor! Después de que una organización haga un inventario de sus productos y servicios, debe determinar si una interrupción de cada producto y servicio provocaría la incapacidad de cumplir los requisitos de la organización y/o los objetivos de continuidad de la actividad (descritos anteriormente), o tendría consecuencias inaceptables. Aquellos productos y servicios que, de interrumpirse, darían lugar al incumplimiento de las obligaciones o a consecuencias inaceptables, deben considerarse en su alcance, junto con todos los departamentos, actividades y recursos de apoyo.

Una vez que la organización define una lista de productos y servicios «incluidos», puede y debe recuperar el organigrama y empezar a asignar los departamentos o unidades de negocio a estos productos y servicios (recordando que no se incluirán todos los departamentos). Este ejercicio permite a una organización empezar a comprender y priorizar las áreas empresariales críticas que debe abordar la continuidad de la actividad, y también proporciona información sobre el tiempo y los recursos necesarios para implantar la continuidad de la actividad. Una vez completada esta actividad, la organización debe tener una idea de los productos y servicios incluidos, y una lista o «mapa» de los departamentos que apoyan o prestan estos productos y servicios.

El gráfico siguiente ilustra la relación entre productos y servicios, departamentos, actividades y recursos. Nota: Avalution recomienda identificar las actividades y los recursos durante el análisis de impacto empresarial, no durante el esfuerzo de delimitación del alcance.

Definir el apetito por el riesgo
En este punto del esfuerzo de delimitación del alcance, una organización debe tener una comprensión clara de los requisitos y objetivos de continuidad de la actividad, así como un inventario inicial de los productos, servicios y departamentos incluidos en el alcance.

La última actividad del proceso de determinación del alcance es definir el apetito de riesgo de una organización (los impactos que una organización no está dispuesta a tolerar o que se consideran inaceptables). Para llegar a un consenso sobre este tema, una organización debe aprovechar la información de las dos actividades anteriores y presentar a la dirección los impactos potenciales asociados a la incapacidad de suministrar los productos y servicios incluidos en el alcance. Posteriormente, la dirección debe dar orientaciones sobre qué impactos son inaceptables, para incluir la cantidad de tiempo de inactividad que la organización está dispuesta a tolerar.

Aunque los impactos potenciales varían entre organizaciones e industrias, las siguientes categorías son un buen punto de partida para comprender y definir los impactos potenciales asociados a un incidente perturbador:

  • Impactos normativos
  • Impactos legales y/o contractuales
  • Impacto en los clientes
  • Repercusiones financieras
  • Impactos operativos
  • Impacto en la reputación

Basándose en la orientación proporcionada por la dirección, una organización puede definir y documentar formalmente su apetito de riesgo utilizando criterios que describan el impacto que es inaceptable. El tiempo de inactividad asociado a productos y servicios, departamentos y recursos que puedan superar el apetito de riesgo de una organización debe estar en el ámbito del programa de continuidad de negocio.

Conclusión
Basándose en los requisitos y obligaciones, la importancia de los productos y servicios de la organización, y un apetito de riesgo documentado, una organización puede documentar una declaración formal de alcance que establezca los límites del esfuerzo de continuidad de la actividad.

Las organizaciones se encuentran a menudo desarrollando, o intentando mantener, programas de continuidad empresarial, sin una comprensión o definición formal del alcance del programa. Esto conduce a una serie de problemas, como la asignación incorrecta de recursos, objetivos de preparación mal definidos, incapacidad para mantener las estrategias de recuperación y dificultad para hacer cumplir la política. Un alcance eficaz no sólo permite centrarse, sino que formaliza los objetivos de continuidad empresarial, define los productos y servicios incluidos y facilita el acuerdo sobre el apetito de riesgo.

Dicho de forma sencilla, un alcance eficaz es una de las formas más seguras de evitar (o abordar) programas de continuidad empresarial ineficaces y de alinear el alcance de un programa con las expectativas de las partes interesadas.

La continuidad empresarial y la planificación de la recuperación de desastres informáticos es todo lo que hacemos. Si buscas ayuda para crear o mejorar tu programa de continuidad empresarial, podemos ayudarte.