docUnidad 2: Análisis de impacto al negocio
download 
Demanda Transcripción
Unidad 2: Análisis de impacto al negocio
Unidad 2: Análisis de impacto al negocio 1. Análisis de Impacto al Negocio Retomando, lo que se ha dicho anteriormente, la disciplina produce dos entregables principalmente, estos son el BCP y el ICT-CP. La elaboración de cada uno de ellos se encuentra fundamentada, principalmente, en dos estudios; en esta unidad se analizará en detalle el primero de ellos: el BIA. Al término de esta unidad, usted deberá: Explicar lo que es un BIA. Saber la información que arroja un BIA. Conocer los tiempos principales en un BIA. Explicar la metodología BIA. ¿Qué es un BIA? Una organización, perteneciente a cualquier sector económico, y sea cual sea su tamaño, presencia y rentabilidad tiene sin duda alguna objetivos organizacionales, económicos y estratégicos, y todos ellos están basados en los productos y servicios que producen, y por tanto ofertan en el mercado. Entonces, ¿qué sucedería si por algún evento la organización se ve impedida de prestar sus servicios o deja de producir? El estudio que se encarga de responder a esta incógnita se conoce como Análisis de Impacto al Negocio, o BIA, por sus siglas en inglés. Un BIA, es el proceso de determinar y documentar el impacto de una interrupción a las actividades que soportan los productos y servicios de una organización. Un BÍA, es un instrumento esencial para comprender a la organización, pues le ayuda a detectar aquellos productos y servicios que le generan mayor rentabilidad, así como a identificar las relaciones producto o servicio, unidad o función organizacional, proceso, tecnología e información que se dan en su interior. Con esta información, la organización toma conciencia de la importancia que tiene las funciones del negocio, así como de sus consecuencias si, alguna de ellas llegase a faltar. De igual forma, queda en posibilidad de categorizar y priorizar sus actividades y de ahí, plantear su estrategia de recuperación, tema que tocaremos en unidades posteriores. Unidad 2: Análisis de impacto al negocio 1 Los tiempos que descubre el BIA Uno de los resultados que el BÍA ofrece es el tiempo máximo que un negocio puede ocupar en recuperarse, en caso de afrontar un evento y, por consecuencia evitar su salida definitiva del mercado, sino, por el contrario, que resulte una ganancia competitiva. El BIA ofrece esta información desglosada en tres tiempos principales que son: El RPO EL RTO EL MTPoD A continuación, se verá en detalle cada uno de ellos. RPO El RPO o Recovery Point Objective, por sus siglas en inglés, es un punto de tiempo antes de que ocurra el incidente, y puede ser considerado como la cantidad de información que se “puede perder” o recuperar de forma manual. Básicamente, se considera RPO al punto donde se realiza el último respaldo utilizable y completo, también llamado backup, de la información generada por la organización, pues a partir de éste, se restaurarán las aplicaciones o sistemas afectados por el incidente y con el cual se debe operar en la contingencia. El RPO, básicamente es de carácter informático y depende de la política de respaldos del área de TI. RTO El RTO, o Recovery Time Objective, por sus siglas en inglés, es el tiempo máximo en el que cada función o proceso de negocio debe estar operando al menos en sus niveles mínimos, para impedir que la organización experimente pérdidas financieras y operacionales, y al contrario, se consiga lograr el nivel de operación considerado como normal. El RTO se establece por proceso, y debe ser menor al tiempo máximo de interrupción que una organización puede soportar. MTPoD Si la organización rebaza la barrera establecida por el RTO sin lograr restablecer sus procesos a un nivel mínimo aceptable, su viabilidad se ve irrevocablemente amenazada debido a los impactos que debe enfrentar al no estar prestando sus servicios. A este plazo de tiempo máximo de interrupción, se le denomina MTPoD, o Maximun Time Period of Disruption, el cual se empieza a contabilizar a partir de que ocurre un incidente. Unidad 2: Análisis de impacto al negocio 2 Impactos Se denomina IMPACTO a toda consecuencia previamente evaluada de una acción o evento en particular, en términos de BÍA un impacto es lo que puede suceder si determinado proceso deja de operar. Los impactos pueden o no ser cuantificables, así como puede ser perceptibles a corto o largo plazo, de igual forma pueden evolucionar en el tiempo y todo ello depende, de que tan rápida sean sus respuestas al enfrentar una contingencia. Los impactos se clasifican en dos tipos: Impactos financieros. Impactos operacionales. Los impactos financieros, son aquellos que se pueden cuantificar inmediatamente en dinero y tienen incidencia en el flujo de efectivo de la organización. En pocas palabras los impactos financieros responden a las preguntas: 1. 2. ¿Cuánto dinero le cuesta a una organización? Este tipo de impactos debe considerar el pago de multas y penalizaciones. ¿Cuánto deja de ganar la organización por detener la entrega de sus productos y servicios? La estimación de estos impactos se debe hacer por hora, día, o semana. Los impactos operacionales, son aquellos que se perciben a largo plazo, afectando elementos intangibles que con el tiempo, se traducen en pérdida económica, tal como el daño a la marca y reputación, pérdida de clientes, daño en el servicio y los productos. El cálculo de este tipo de impactos es complejo, y solo es sensible después de que una organización se ha recuperado de una contingencia. Los impactos deben ser establecidos, con el fin de tener una visión amplia y objetiva de las consecuencias que se tienen, cuando la empresa deja de entregar sus productos y servicios, o bien se dejen de cumplir los acuerdos de nivel de servicio estipulados en el contrato con los clientes. Identificación y priorización Supongamos, una función de negocio tan, sencilla, como es son las ventas por teléfono. Se puede observar en la ilustración, que para esta función intervienen tres unidades organizacionales, cada una de ellas integrada por una o subáreas y cada una de éstas, posee sus procesos que pueden o no estar relacionadas con otras áreas. Lo importante es notar que cualquier organización está integrada por un organigrama, la cual denota las divisiones internas, sin embargo la función, en este caso, se realiza mediante la ejecución de diferentes procesos, en diferentes unidades, utilizando diferentes tecnologías; mostrando de esta manera la interdependencia que existe en la organización. Unidad 2: Análisis de impacto al negocio 3 La priorización de los procesos de una unidad, se puede establecer en base a: 1. La función de negocio que soporta a la organización. 2. El nivel de soporte que tiene como dependencia, es decir, la criticidad de los entregables para el desarrollo de la función que soporta. 3. El nivel del impacto, en caso de que un proceso en específico deje de operar. Recursos Una vez establecido el orden de recuperación de los diferentes procesos existentes dentro de la organización, es importante saber: ¿Qué se necesita para incrementarlos a los niveles mínimos requeridos? ¿En qué cantidades? ¿En qué momento? ¿De dónde y cómo se obtendrán? Quizás, una de las primeras dependencias que saltan a la vista, gracias al BIA es la tecnología requerida para reanudar la operación, incluye desde las aplicaciones, sistemas, enlaces y redes necesarios, hasta el número de equipos de cómputo requeridos, impresoras, tarjetas de conexión inalámbrica, teléfonos y el tipo de red que utilizarán, e incluso equipos especiales que se consideran necesarios. La siguiente figura, muestra una lista de recursos críticos en relación a las personas y sus habilidades, así como el espacio y el mobiliario de oficina que requieren para desempeñar sus funciones. Gracias a estos, es posible recuperar los procesos necesarios para sostener los productos y servicios críticos en la organización. Actividad 1: ¿Qué es un BIA? Instrucciones: Escriba en los espacios en blanco la palabra que mejor complemente las sentencias que se presentan a continuación. Puntos clave relacionados con el BIA: 1. BIA es el ___________ de determinar y documentar una interrupción a las que soportan los productos y servicios de una organización. 2. El BIA identifica las relaciones existentes entre los ___________, la ___________ y la unidad organizacional que soportan los productos y servicios de la organización. 3. El BIA ___________ y ___________ las actividades, de este modo le permite a la organización establecer sus estrategias de recuperación. Unidad 2: Análisis de impacto al negocio 4 Actividad 2: Los tiempos que arroja el BIA Instrucciones: El BIA arroja tres tiempos que son de suma importancia, escriba en los espacios en blanco aquel que corresponda a la definición. 1. El ________ es el punto de información disponible, a partir del cual, las aplicaciones o sistemas deberán ser restaurados, para continuar la operación en contingencia. 2. El ________ es el tiempo máximo en el que cada función o proceso de negocio debe estar operando en, al menos, sus niveles mínimos para impedir que la organización experimente pérdidas financieras y operacionales 3. El ________ es el tiempo tras el cual la viabilidad de una organización estará irrevocablemente amenazada, si no puede reanudar la entrega y prestación de productos y servicios. Actividad 3: Descubrimientos de un BIA Instrucciones: Coloque en los espacios en blanco los términos que mejor complementen las siguientes sentencias. 1. Un ____________ es lo que puede suceder si determinado proceso deja de operar. Se clasifican en ____________ y ____________ . Los primeros se pueden cuantificar inmediatamente y tienen incidencia en el flujo de efectivo; los segundos se perciben en el largo plazo y con el tiempo se traducen en pérdida económica. 2. Los _____________ son los elementos requeridos para poder llevar a cabo la restauración de los procesos críticos en el tiempo establecido. El BIA identifica: lo que se requiere, la cantidad, en qué momento y la manera de obtenerlos. 3. Selección los criterios en base a los que se priorizan los procesos de una organización: □ Los recursos que son requeridos: a más recursos, mayor prioridad. La función de negocio que soporta dentro de la organización. □ El tiempo que se requiere para ser reanudados, tienen mayor prioridad aquellos que requieren más tiempo para recuperarse. □ La criticidad de los entregables para el desarrollo de la función que soporta. □ El nivel del impacto, en caso de que un proceso en específico deje de operar. Unidad 2: Análisis de impacto al negocio 5 2. Metodología BIA Para realizar un BIA, es necesario conocer su metodología, la cual consta de cinco pasos, siendo éstos: 1. 2. 3. 4. 5. Análisis del negocio. Establecer prioridades. Preparación del cuestionario. Prueba de la calidad de la Información obtenida. Ejecución del BÍA. En conjunto, estos pasos tienen por objeto asegurar que la realización del BÍA sea lo más ordenada y que se obtengan los resultados que se han comentaron en secciones anteriores. Paso 1: Analizar el negocio El primer paso de la metodología BÍA, consiste en realizar una lista cruda de los productos y servicios que oferta el negocio y determinar los más rentables o los que generan los mayores ingresos. Para esta discriminación se puede utilizar la regla de Pareto o del 80/20, es decir: localizar el 20% de las funciones que genera el 80% de los ingresos. De la misma lista de funciones se deben extraer, aquellos que si bien no son rentables, son críticos, tal como la función de atención al cliente, o el pago de nómina e impuestos. En esta fase, también se debe mapear los procesos que soportan la función, así como las áreas y departamentos a los que pertenecen. En este paso no se necesita profundizar al nivel de los recursos necesarios para levantar la función, se trata únicamente de conocer las dependencias a nivel organizacional. Paso 2: Establecer prioridades Del análisis anterior, se obtiene una lista cruda de los procesos que la organización ejecuta, entonces, toca seleccionar y priorizar aquellos procesos que: 1. Apoyan la generación de productos y servicios core del negocio; 2. Apoyan a la generación de ingreso; y 3. Sirvan de apoyo para la generación y manutención del negocio. Se debe tomar en cuenta, que todo proceso que no entre en las tres categorías anteriores, no serán objeto de estudio del BIA. Unidad 2: Análisis de impacto al negocio 6 Paso 3: Preparación del cuestionario El tercer paso de la metodología, es diseñar un cuestionario base que contenga preguntas suficientemente robustas, las cuales permitan obtener información puntual y que sea útil para el análisis. Es importante plantear las cuestiones, utilizando términos comunes en el ambiente y la cultura del negocio con el fin de evitar ambigüedades entre las personas que vayan a contestar dicho cuestionario. También, es importante que durante este desarrollo se tome en cuenta el método que empleará para la recolección de datos, el tiempo que dispone para realizar el levantamiento y la forma en que éste se llevará a cabo. Paso 4: Prueba de calidad de la información obtenida La cuarta etapa, consiste en verificar que el cuestionario arroje información útil y específica para realizar el análisis. Para esto, se recomienda organizar un experimento que describa todo el proceso, desde la entrega del cuestionario hasta la recepción del mismo indicando los medios y la forma: ya sea impreso o electrónico. Se recomienda realizar el llenado de dos o tres cuestionarios por diferentes personas, con la finalidad de corroborar la comprensión de las preguntas y las posibles respuestas que se obtendrán. Una vez recibidos los cuestionarios, se debe proceder a la elaboración de un reporte y gráficas de muestra, utilizando los datos recolectados. Es importante recordar, que la información primordial que debe obtenerse de los cuestionarios es: 1. 2. 3. 4. Tiempos de recuperación, Impactos financieros y operacionales, Comportamiento de las funciones críticas en el tiempo, Compromisos legales, contractuales, normativos, entre otros, a los que un proceso, producto o servicio está sometido, 5. Recursos necesarios para operar en la contingencia. Todo esto tendrá la finalidad de recibir una retroalimentación, así como realizar los ajustes pertinentes al cuestionario, evitando de esta forma, los sesgos de información que puedan existir. Una vez terminado el experimento, se debe obtener la aprobación por parte de la Alta Dirección e iniciar su distribución. Unidad 2: Análisis de impacto al negocio 7 Paso 5: Ejecución del BIA Una vez obtenida la autorización para la distribución del BÍA, se debe realizar agendas con el personal que será entrevistado. Antes de aplicar el cuestionario, se debe orientar a los implicados y a sus jefes sobre el proceso de entrega-recepción, así como los medios para resolver dudas en caso de que se llegasen a presentar durante el llenado de los mismos. El entregable final, es un reporte y una presentación dirigida a la Alta Dirección. Recuerde que debe utilizar gráficos, donde muestre los impactos financieros acumulados, los impactos operacionales y la evolución de los mismos, en un determinado período. También se deben listar las funciones sensibles en el tiempo y sus RTO’s respectivos. ¿Y las TIC? Un BIA arroja las funciones de negocio que sean críticas, y lo que puede suceder como producto de la interrupción de éstas, también indica los recursos necesarios para recuperar esas funciones a un nivel mínimo aceptable, entre ellos se encuentran las personas, la información, las aplicaciones y los servicios. Entonces ¿qué estudio se puede realizar para identificar los recursos necesarios para recuperar la infraestructura tecnológica? Para resolver esta cuestión existe el Análisis de impacto tecnológico. Este estudio se encarga de identificar los recursos mínimos necesarios para levantar los servicios y aplicaciones que soportan la operación del negocio. Análisis de Impacto Tecnológico Un análisis de impacto tecnológico, desde el punto de vista de los departamentos de TI, ayuda a comprender a los sistemas en términos de los procesos de negocio que lo soportan. Puede que en algunos casos, se distorsione la criticidad e importancia real de un sistema. Por ejemplo: usualmente un sistema contra intrusos, o de video vigilancia es considerado de suma importancia, pues es una herramienta básica para proteger los activos de la organización, por tanto, si llegase a fallar, seria prioritaria su recuperación, sin embargo, desde la perspectiva del negocio, si llegase a faltar por causa de un evento que interrumpa las funciones vitales, su recuperación pasaría incluso a un último plano, pues la prioridad sería recuperar aquellos sistemas que soportan la operación crítica del negocio. No por eso, deja de ser importante para la empresa; sin embargo, es necesario reconocer bajo qué circunstancias, su recuperación pasa a primer plano. Unidad 2: Análisis de impacto al negocio 8 También puede haber sistemas que se utilizan frecuentemente, sin embargo, si están por debajo, no representa un impacto en la operación crítica. El objetivo de un análisis de impacto tecnológico, es señalar los sistemas que son considerados como críticos y sus motivos en esa categoría reconociendo la importancia en la organización. Aunado a esta conciencia, también se agregan los tiempos básicos que un BIA normalmente detecta, así como los recursos mínimos necesarios para levantar las aplicaciones y los servicios; y el nivel y alcance en que estos deben funcionar, por ejemplo: el sistema de correo electrónico solo estará disponible para el personal clave y el servicio de internet solo funcionará para, dos departamentos de los siete que normalmente utilizan este servicio y solo podrán acceder a el personal autorizado. Hallazgos del análisis de impacto tecnológico El análisis de impacto tecnológico, es un estudio que ayuda a identificar impactos, sin embargo, en lugar de enfocarse a los procesos y funciones su prioridad es identificar el impacto que tiene la organización, al no contar con las aplicaciones y los servicios necesarios para operar en su día a día. También identifica los tiempos críticos y arroja una lista priorizada para recuperar las TIC. Para realizar esta priorización el análisis de impacto tecnológico pide al negocio que identifique sus funciones clave, así como los impactos que supondría al interrumpir dichas funciones. Una vez realizada esta identificación, el negocio debe cuestionarse sobre las aplicaciones y los servicios que soportan su operación. A estas aplicaciones se les asigna tiempos de recuperación como es el RTO y el RPO de acuerdo al requerimiento del negocio. Si ya existe un BIA previo, entonces los tiempos deben alinearse a los requerimientos marcados en éste. A continuación, el análisis de impacto tecnológico identifica los impactos que ocasionaría si las fallas de operación son a consecuencia de las dependencias tecnológicas, para ello, hay que investigar con la gente de TI sobre los requerimientos necesarios, en cuanto a la infraestructura, para levantar la aplicación. Por infraestructura se entiende: aquellas características del equipo en cuanto a memoria, procesadores, capacidad en disco, tarjetas de red, alimentación, sistema operativo y parches necesarios; características de la red como routers, firewalls, y/o switches, entre otros. Unidad 2: Análisis de impacto al negocio 9 Metodología del Análisis de Impacto Tecnológico La metodología del análisis de impacto tecnológico es idéntica a la metodología BIA. Brevemente recordemos que está se encuentra compuesta por cinco pasos: 1. Analizar el negocio a la luz de localizar el 20% de las funciones que producen el 80% de la riqueza total. 2. Discriminar las funciones que serán sujetas al análisis de impacto tecnológico de aquellas que serán obviadas. 3. Preparar un cuestionario adecuado que extraiga información puntual y necesaria. 4. Probar la calidad del cuestionario y realizar un reporte de prueba con los datos recolectados. 5. Distribuir el cuestionario y recolectar la información. Actividad 1: Metodología BIA Instrucciones: Escriba en los espacios en blanco la fase que corresponde a la descripción. Paso _____: En este paso, los procesos sujetos de un estudio BIA se clasifican en: Procesos de generación de ingreso, procesos de apoyo a la generación de ingreso y procesos de apoyo a la organización. Paso _____: En este paso se realiza un experimento que abarca desde la entrega del cuestionario hasta la elaboración de un reporte de prueba. Paso _____: Este paso de la metodología BIA busca identificar las funciones que genera ingreso y que áreas las soportan. Paso _____: Este paso consiste en la ejecución del BIA. Paso _____: En este paso, el objetivo es generar el cuestionario con que se realizará el estudio BIA. Unidad 2: Análisis de impacto al negocio 10
