27 ago 2012

¿Cuál es más importante? (BIA o RA)

Ha habido mucha discusión en cuanto a la importancia de realizar un análisis de impacto al negocio (BIA) y una evaluación de riesgos (RA). ¿Cual es más importante? ¿Cuál debe realizarse primero? Algo que he aprendido con los años es que ambos son importantes y no importa cual se ejecute primero, siempre y cuando ambos se lleven a cabo. Ambos son necesarios, ya que sientan las bases e influencian la planificación de la continuidad del negocio reactiva y proactiva dentro de la compañía.

Lo que la gente tiene que entender es que el BIA y la RA evalúan dos conjuntos de datos completamente diferentes. El BIA evalúa el impacto de no efectuar un proceso de negocio en particular en el tiempo y mide los impactos cuantitativos y cualitativos de no efectuar dicho proceso. La RA evalúa los riesgos que podrían afectar las instalaciones, la magnitud del impacto y la probabilidad relativa de ocurrencia. Se trata de dos conjuntos de datos de información diferentes, pero cuando se combinan, pueden contar una historia muy perspicaz acerca de lo rápido que una interrupción puede afectar un negocio, donde tendrá el impacto más grave, la rapidez con que se producirá el impacto, y en qué orden de magnitud.

A algunos profesionales dedicados a la gestión de la continuidad del negocio les gusta utilizar los datos del RA en la elaboración del análisis de impacto al negocio, pero ese no es mi caso. Yo le digo al grupo de negocio que el proceso no está disponible, que no tiene acceso a los datos o instalaciones, y estas tampoco están disponibles a pesar de la contingencia que se le presente. Ahora, una vez entendiendo todo esto, podemos empezar a determinar cuánto tiempo puede estar la compañía sin completar el proceso de negocio y determinar con qué rapidez comienzan a ocurrir los impactos cuantitativos y cualitativos y su orden de magnitud. También le explico al grupo de negocio que se utilizará la información de la RA para determinar cómo los riesgos identificados pueden influir en los esfuerzos de planificación futuros, y reforzaremos cualquier plan de contingencia existente con lo aprendido del BIA para ver si hay algún problema que necesite ser considerado en los esfuerzos de planificación futuros. La razón para no utilizar los datos de la RA inicialmente, o considerar los planes actuales de contingencia es que esta información no es relevante para determinar la sensibilidad de tiempo del proceso de negocio. La sensibilidad de tiempo del proceso de negocio es lo que es, independientemente de los riesgos identificados. No importa si el área es propensa a terremotos, volcanes, huracanes, incendios o inundaciones. La sensibilidad de tiempo del proceso de negocio es el mismo.

La Evaluación de Riesgos se vuelve importante a la hora de determinar el nivel de planificación proactiva o reactiva que sea necesario para asegurar que el proceso de negocio pueda ser reanudado antes que la compañía alcance un punto crítico por no realizar el proceso. Si la Evaluación de Riesgos identifica que el área es propensa a terremotos o huracanes, entonces el nivel de planificación puede ser muy diferente a si el área es propensa a una tormenta de nieve ocasional.

Cuando trabajaba para una compañía en San Francisco llevamos a cabo una serie de BIAs para identificar y priorizar los procesos de negocio, algunos de los cuales eran muy sensibles al tiempo y de no estar disponibles podrían ocasionar impactos significativos en la compañía en un período de tiempo muy corto. Ya sea que la compañía se encuentre en San Francisco o en otra ciudad, la sensibilidad de tiempo de los procesos sería la misma.

La evaluación de riesgos identificó que San Francisco es propensa a terremotos, lo cual influenció nuestra decisión de desarrollar una estrategia de reanudación del negocio fuera del área. El centro de datos de la compañía también se encontraba en San Francisco, cerca del Fisherman’s Wharf con un contrato de warm site para recuperación ante desastres con un proveedor en otro estado. Ya que San Francisco es tierra de terremotos, queríamos aprender más acerca de la integridad estructural de los edificios donde trabaja el personal y el edificio donde está ubicado el centro de datos.

Después de realizar una evaluación de riesgos estructurales de los edificios la compañía se enteró que el edificio donde se encontraba el centro de datos tenía una alta probabilidad de colapsar. El resultado de la evaluación de riesgos junto con esta nueva información influyó en la decisión de la gerencia para trasladar el centro de datos fuera del Estado de manera que la Compañía no tuviera que lidiar con la recuperación del centro de datos y la reanudación de los procesos de negocio críticos al mismo tiempo.

He aquí un caso donde la evaluación de riesgos influyó en el tipo de planificación proactiva y reactiva que era necesaria para asegurar la continuidad de los procesos de negocio más sensibles al tiempo. Si la empresa no se hubiese encontrado en una zona propensa a terremotos, no hubiera habido necesidad de trasladar el centro de datos.

Por eso es importante llevar a cabo tanto un BIA como una Evaluación de Riesgos. Los datos de cada análisis son únicos, pero cuando se combinan pueden influir efectivamente en la toma de decisiones inteligentes en cuanto a riesgos, y no importa cual se efectúe primero, siempre y cuando ambos se lleven a cabo.

Fuente: DRJ en Español

Suscríbete a nuestro Boletín

4 comentarios:

  1. Excelente explicación de la diferencia entre RA y BIA

    ResponderBorrar
  2. Muchísimas gracias por toda la información, demasiado completa. Felicitaciones!

    ResponderBorrar
  3. Muy buena e interesante lectura.Otra anotación importante es que el BIA define e identifica los procesos mas críticos y los MTD, RTO WRT y RPO, de igual manera el análisis de los recursos existentes para enfrentar la crisis.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!