Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Analysis (BIA)
Una vez se tiene el análisis de riesgos, este se convierte en el punto de partida del Análisis de
Impacto de Negocios y/o Business Impact Analysis (BIA). EsteBIA se constituye asi en el
pilar sobre el que se va construir el Plan de Recuperación de Negocios. El BIA será la guía que
determine que necesita ser recuperado y el tiempo que tarde dicha recuperación, actividades
que en el Plan de Continuidad de Negocios se convierten quizás en las más difíciles y criticas
por realizar adecuadamente. El apoyo del BIA es invaluable para identificar que esta en riesgo
una vez se presente un riesgo permitiendo así justificar los gastos que se requieran en
protección y capacidad de recuperación. Usualmente se habla de "critico" o "esencial" cuando
se listan las actividades desarrolladas en una Organización.
Al hacer un BIA quizás resulte mas útil hablar de "tiempos inactivos", puesto que ninguna
organización contrata un empleado para que realice labores "no esenciales", cada labor tiene
un propósito, pero hay unas labores que son mas exigentes en su tiempo de ejecución que
otras cuando hay limites de recursos o tiempos apretados de entrega para su realización.
Veámoslo de este modo: Un banco que haya sufrido un percance por un pequeño incendio en
la bodega puede detener su campaña publicitaria pero no podrá detener los procesos de retiros
y depósitos de sus clientes. La campaña publicitaria del banco es esencial para su crecimiento
a largo plazo, pero cuando se presenta una emergencia o desastre puede ser aplazada no por
su criticidad sino por que su "tiempo de inactividad" puede ser mucho mayor y no afectar la
operación del banco. La organización debe revisar cada una de las tareas que se realizan con
el mismo patrón de referencia. Por cuanto tiempo puede dejar de realizarse esta actividad sin
que ello cause perdidas financieras, quejas de los clientes, y/o penalizaciones legales o
contractuales? Cuando se trata el tema de continuidad, todo gira alrededor del impacto. Es
acerca de sostener la operación básica de la Organización mientras que lo demás se puede
dejar en espera. Es centrarse en las operaciones que le permiten sobrevivir a la
Organización. Todos los procesos de la Organización, así como los recursos tecnológicos en
los que se soportan tales procesos deben ser clasificados de acuerdo a su prioridad de
recuperación. Los tiempos de recuperación de los procesos para una organización están
medidos por las consecuencias de no poder ejecutarlos.
A manera de ejemplo, un callcenter en promedio puede recibir 1.200 llamadas en promedio por
hora, 72% de ellas finalizan con una venta de U$57 dólares, asi que haciendo cuentas 1200 x
0.72 x $57 = $49,248 cuesta cada hora de servicio que el callcenter este fuera de operación. Si
los clientes o potenciales consumidores encuentran lo que desean comprar en una pagina de
internet, realizan la orden y el sitio deja de funcionar, hay un impacto inmediato. El impacto
depende estrictamente de la actividad que realice una Organización, de cuantas ordenes de
trabajo se reciben, que cuesta cada orden, y saber si el cliente esta dispuesto a esperar a
realizar su pedido hasta que se restablezca el servicio o ira a solicitarlo a otro proveedor
(siempre pueden ir con la competencia!!!).
Cuando el equipo de planeación tiene la lista de actividades, una idea de que ocurre cuando
dejan de ejecutarse, y en que tiempo empezaran a ver el impacto, es hora de cuantificar el
impacto. Se pueden utilizar medidas cuantitativas como dólares por minuto, hora o día de
inactividad, o medidas cualitativas que permitan predecir resultados basados en el
conocimiento o experiencia de los miembros del equipo de planeación o compañeros de
trabajo. Una vez se completa esta actividad ya tenemos una vista general de todo lo que realiza
la compañía, que impacto tiene para la organización que no se ejecute un proceso o una
actividad, que tan rápido se sentirá ese impacto y que tan fuerte impactara a la organización.
Esta información será el punto de partida para desarrollar estrategias de recuperación para
cualquier organización.
Ya con esta información recopilada, se hace necesario determinar en una escala los tiempos
de recuperación óptimos. A manera de ejemplo, se puede determinar que estas son las
categorías a emplear:
El RPO es ligeramente diferente. Este parámetro nos dice que cantidad de información puede
la Organización perder. En otras palabras, si su organización realiza respaldos nocturnos de
información todos los días a las 7:00 PM y el sistema colapsa al día siguiente a las 4:00 PM,
toda actualización que se realice desde su último respaldo se perderá. El RPO para este
contexto será el respaldo de información que haya realizado en el día anterior. Ahora, si
estamos hablando de un banco que hace transacciones en Internet, el RPO debe ser
prácticamente igual a cero, incluyendo la última transacción y el último bit de información que
se haya manejado. Así las cosas, el RPO nos dice que clase de protección se requiere para la
información que se maneja en su Organización.
Así las cosas, el RTO y el RPO influyen por completo en la infraestructura de soporte y
respaldo que vaya a utilizar en su organización. Entre mas se reduzca e RTO y el RPO, mas
dinero debe invertirse en seguridad.
Maximum Tolerable Downtime (MTD) o Maximum Tolerable Outage (MTO) Tal como suena, es
el tiempo máximo de inactividad que la organización puede tolerar la ausencia o no
disponibilidad de una función o proceso. Diferentes procesos o tareas dentro de la organización
pueden tener diferentes MTD. Si una función de la Organización esta categorizada dentro de la
Categoría 1, obviamente tiene el MTD mas corto. Hay una correlación entre la criticidad de las
funciones o procesos de la organización y su tiempo máximo de inactividad. A mayor criticidad,
menor tiempo de espera a que se reinicie la operación en ese proceso o función. El tiempo de
caída o de inoperancia se constituye por dos elementos: el tiempo de recuperación del sistema
y el tiempo de trabajo en recuperación o WRT. Así las cosas, MTD = RTO + WRT.
Work Recovery Time (WRT) Tiempo de trabajo en Recuperación. Este segmento comprende el
máximo tiempo de inactividad posible o MTD. Si su MTD es de 3 días, probablemente el día 1
sea el RTO y los dias 2 y 3 pueden ser los WRT. Como es de esperar, toma tiempo hacer que
las funciones criticas de la Organización estén nuevamente operando (hardware, software,
configuraciones necesarias, etc), y este es un tema que usualmente se ignora en las etapas de
planeación, especialmente por Sistemas o IT. Si los sistemas están nuevamente funcionando,
eso es todo desde la perspectiva de sistemas o IT. Pero que ocurre desde una perspectiva de
negocios? Hay pasos adicionales a tenerse en cuenta antes de que los sistemas estén
operando como conseguir una ubicación alterna, conseguir los equipos, conexión a banda
ancha, etc, etc y que tienen que ser obligatoriamente contemplados en la definición del MTD; y
si no se tiene en cuenta se esta poniendo en riesgo a la organización al no haber tomado tales
tiempos en consideración.
Durante la ejecución normal de operaciones, usualmente hay una diferencia entre el último
respaldo de información realizado y el estado actual de la información. En algunos casos, este
lapso puede ser de minutos u horas, pero en la mayoría de casos siempre será de horas o
días. Este marco de tiempo es el punto objetivo de recuperación. En muchas organizaciones
este es precisamente el lapso de tiempo que existe entre cada una de las copias de respaldo
que realizan. Observando el circulo con el numero 1 se aprecia la diferencia existente entre la
realización de la ultima copia de respaldo y el estado actual de la información, justo antes de la
caída del sistema. Ese es el momento en el cual uno o más de los sistemas críticos dejan de
estar disponible y se inicia el Plan de Continuidad y/o de Recuperación de Desastres. La
primera fase del MTD (tiempo máximo de inactividad que la organización puede tolerar la
ausencia o no disponibilidad de una función o proceso) es el objetivo a cumplir. En este marco
de tiempo los sistemas se evalúan, reparan, reemplazan y reconfiguran. El RTO finaliza cuando
los sistemas nuevamente están en línea y la información es recuperada hasta el último
respaldo de información disponible. Justo allí es cuando empieza la segunda fase del MTD.
Para finalizar, los dejo con un diagrama que explica las entradas y las salidas de un BIA: