����������������� � ����������� � ������������ �������� ���� �� ��������� �� �� �����������
���� ����� �� ��� �� ���� ����������� ��� ��� Análisis de impacto del negocio Armando Carvajal – armando.carvajal armando.carvajal@globalteksecuri @globalteksecurity.com ty.com
����
� � � � � � � � � � � � � � � � � � � � � � �
� �� �� ��
���� ���
Plantilla para capacitación – Reporte ejecutivo para el análisis de impacto del negocio - BIA
Armando Carvajal Ingeniero de Sistemas de la Universidad INCCA de Colombia, cuenta con un postgrado en “Construcción de Software para redes” de la Universidad de los Andes, es Msc en “Seguridad Informática” en la Universidad Oberta de Cataluña (España). Se desempeña como gerente de consultoría de la empresa globalteksecurity, organización especializada en seguridad informática. Ha sido conferencista en Latinoamérica y tiene experiencia dictando postgrados en algunas universidades en Colombia.
Oficina principal de Ventas Calle 100 No 8A-37 Torre A Oficina 804 World Trade Center Bogota, Colombia, Sur América
Oficina de soporte Técnico Calle 23G No 81-76 Tel 410-7993, 410-8004, 410-7972, 610-3308, 618-1551. Fax: 295-4507
Oficina en Estados Unidos 1580 Sawgrass Corporate Parkway Suite 130 Sunrise, FL – 33323 Phone Number: 954-315-4596 Fax 954-838-7746 – USA
Plantilla para capacitación – Reporte ejecutivo para el análisis de impacto del negocio - BIA
ANALISIS DE IMPACTO DEL NEGOCIO – BIA
La base de un Plan de Continuidad del Negocio o BCP es el BIA.
El BIA es el documento base de todo plan de continuidad del negocio, no hacer el BIA es como querer saber dividir sin antes haber aprendido a sumar y restar.
Si deseamos construir un puente o un edificio primero, debemos construir sus bases, por ejemplo imaginemos un edificio de 20 pisos sin una base, en el primer temblor de tierra seguro que se fragmentaria o peor aun se desmoronaría.
La base fundamental de un plan de continuidad del negocio o BCP es el BIA.
El BIA nos indica que procesos o áreas de mi negocio son las más críticas, el BIA nos dice que aplicaciones son las que debemos llevar a un centro de cómputo remoto para procesar información el día que ocurra una catá strofe.
El BIA nos indica día a día como se impacta el patrimonio de los socios cuando el riesgo catastrófico se concreta.
El BIA no aplica para los riesgos que no sean catastróficos.
Un Plan de continuidad del negocio debe basarse en el BIA, si una entidad de control quisiera saber si el BCP es frágil, o fue elaborado a última hora solo por cumplir una norma, entonces debe mirar cuan solido es el BIA pues de este se partió para llegar al plan de continuidad del negocio.
¿Ha reflexionado sobre qué sería de un BCP sin un BIA?
Oficina principal de Ventas Calle 100 No 8A-37 Torre A Oficina 804 World Trade Center Bogota, Colombia, Sur América
Oficina de soporte Técnico Calle 23G No 81-76 Tel 410-7993, 410-8004, 410-7972, 610-3308, 618-1551. Fax: 295-4507
Oficina en Estados Unidos 1580 Sawgrass Corporate Parkway Suite 130 Sunrise, FL – 33323 Phone Number: 954-315-4596 Fax 954-838-7746 – USA
Plantilla para capacitación – Reporte ejecutivo para el análisis de impacto del negocio - BIA
Generalmente el informe BIA está compuesto por dos bloques que a la vez conforman otras partes, los grandes bloques son uno gerencial y otro de soporte, el bloque de soporte tiene como objetivo dejar constancia en detalle de los resultados del informe gerencial. Este detalle es clave si este informe gerencial fuera cuestionado.
Específicamente el BIA determina el RTO y el RPO: Recovery Time Objective: Es el máximo tiempo permitido que un proceso puede estar caído como consecuencia de un evento catastrófico. RTO:
Recovery Point Objective: Primeros datos que permiten volver a ofrecer el servicio. Identificar si para la recuperación del proceso que se haya visto afectado se necesita disponer de la información que se tenía justo antes de que sucediera el incidente, o si, por el contrario, se puede utilizar la información anterior (hasta qué Momento: una hora, un día, dos días, ...) RPO:
Propuesta de contenido del BIA
Parte I: Alcance y Objetivos del BIA •
Terminología utilizada: Esta sección no debe escribirse en más de una página y debe contener los términos básicos y elementales del BIA como son: Riesgo, análisis de riesgos, Alta disponibilidad, RTO, RPO, y todos los términos específicos utilizados en este informe que le permita a cualquier persona poder leer y entender este documento.
•
Revisiones del documento: Contiene la fecha en que se reviso el BIA así como una descripción abreviada del cambio en el documento, la versión, quien lo genero o audito. Por ejemplo: Versión
•
Descripción del cambio
Revisado por
Fecha
Objetivos: Define la intención del BIA, el peor escenario, define los RTO por ejemplo:
Oficina principal de Ventas Calle 100 No 8A-37 Torre A Oficina 804 World Trade Center Bogota, Colombia, Sur América
Oficina de soporte Técnico Calle 23G No 81-76 Tel 410-7993, 410-8004, 410-7972, 610-3308, 618-1551. Fax: 295-4507
Oficina en Estados Unidos 1580 Sawgrass Corporate Parkway Suite 130 Sunrise, FL – 33323 Phone Number: 954-315-4596 Fax 954-838-7746 – USA
Plantilla para capacitación – Reporte ejecutivo para el análisis de impacto del negocio - BIA
Nivel RTO 1 2 …
•
Intervalo Recuperación 0 – 24 Horas 24 – 48 Horas …
de
Alcance: Describe los subprocesos, procesos o áreas en cuestión, y se indica en que zona geográfica residen los procesos bajo estudio.
•
Enfoque Utilizado: Describe si se utilizaron cuestionarios, como se distribuyeron hacia los dueños de los procesos, Cuenta el numero de procesos encuestados, en qué fecha se hizo el BIA, quien condujo el grupo de encuestadores.
Parte II: Respuestas de los encuestados •
Respuestas de los encuestados y resultados: Resume como respondió la gente, pero no incluye, nunca, los formularios o encuestas diligenciadas por l os dueños de los procesos encuestados.
•
Resultados de cada proceso o de las Unidades de negocios: En esta parte se describe cada proceso o unidad de negocio, informa quien realizo las encuetas, y además muestra
la siguiente información por cada proceso o unidad de
negocio: •
Proceso de negocio y RTO (Recovery Time Objective): Se tabula cada subproceso del proceso o unidad de negocio con secuencia del subproceso, descripción, y RTO (máximo tiempo permitido a ntes de entrar en colapso)
•
Recursos requeridos por cada proceso de negocio: Se tabula cada subproceso del proceso o unidad de negocio con secuencia del subproceso, aplicaciones necesarias, Equipo, registros vitales o reportes, personas requeridas.
•
Procedimientos manuales de recuperación: Se tabula cada subproceso del proceso o unidad de negocio con secuencia del subproceso, procedimiento manual de solución, % que se puede hacer manualmente y RPO.
Oficina principal de Ventas Calle 100 No 8A-37 Torre A Oficina 804 World Trade Center Bogota, Colombia, Sur América
Oficina de soporte Técnico Calle 23G No 81-76 Tel 410-7993, 410-8004, 410-7972, 610-3308, 618-1551. Fax: 295-4507
Oficina en Estados Unidos 1580 Sawgrass Corporate Parkway Suite 130 Sunrise, FL – 33323 Phone Number: 954-315-4596 Fax 954-838-7746 – USA
Plantilla para capacitación – Reporte ejecutivo para el análisis de impacto del negocio - BIA
•
Impacto financiero identificado por cada proceso: Se tabula cada subproceso del proceso o unidad de negocio con secuencia del subproceso, calificación ninguno, bajo, medio, alto, valor del impacto financiero del proceso.
•
Impacto operacional (imagen ante el cliente) Identificado por el proceso o la unidad de negocio: Se tabula cada subproceso del proceso o unidad de negocio con secuencia del subproceso, calificación de ninguno, bajo, medi o y alto
•
Impacto legal identificado por cada proceso: Se tabula cada subproceso del proceso o unidad de negocio con secuencia del subproceso, calificación ninguno, bajo, medio, alto, valor del costo/comisiones.
•
Resumen y conclusiones del proceso evaluado: Se debe enunciar cual es el subproceso más crítico en orden de impacto y sobre todo cuáles son los reportes más vulnerables.
Parte III: Gráficos de Impactos •
Impacto Financiero combinado: En forma grafica se debe mostrar día a día la perdida financiera, se debe describir cual es el valor del primer día, la primera semana y el mes. Resume como ocurren los impactos y desde que procesos, subprocesos o unidades de negocio se originan.
•
Impacto operacional Combinado: generalmente el impacto operacional es un intangible, y tienen que ver con la moral de los empleados, el valor de la acción si se cotiza en bolsa, el flujo de trabajo y fi nalmente el servicio al cliente.
•
Impacto combinado legal/regulación: El impacto “Legal y de regulación” tiene que ver con las obligaciones para con las agencias de vigilancia, organizaciones y clientes con los cuales las unidades de negocio deben cumplir obligaciones contractuales. Incluye los deberes para con las entidades de vigilancia gubernamental, contratos y niveles de servicio pactados con clientes, vendedores y agencias.
•
Requerimientos de personal para recuperación
•
Complejidad de recuperación por unidad de negocio o subproceso: La complejidad de recuperación es la medida de cuán difícil es la recuperación de la unidad de negocio a los niveles de servicio pactados después de un
Oficina principal de Ventas Calle 100 No 8A-37 Torre A Oficina 804 World Trade Center Bogota, Colombia, Sur América
Oficina de soporte Técnico Calle 23G No 81-76 Tel 410-7993, 410-8004, 410-7972, 610-3308, 618-1551. Fax: 295-4507
Oficina en Estados Unidos 1580 Sawgrass Corporate Parkway Suite 130 Sunrise, FL – 33323 Phone Number: 954-315-4596 Fax 954-838-7746 – USA
Plantilla para capacitación – Reporte ejecutivo para el análisis de impacto del negocio - BIA
prolongado tiempo de desastre. Durante el proceso de entrevistas del BIA a cada unidad de negocio o proceso se le debe encuestar sobre
que rango
pertenece según la siguiente lista: •
•
•
•
Fácilmente Recuperable – Los procesos que tengan procedimientos manuales de recuperación, locaciones alternas para poder trabajar, tecnología y estrategias de recuperación caen en este rango Razonablemente recuperable – Algunas necesidades pueden ser difícilmente de reemplazar en un tiempo razonable. Difícilmente recuperable – Muchas de las necesidades esenciales de la unidad de negocio pueden ser difíciles de reemplazar en un tiempo razonable Muy difícil recuperación – Existen numerosos elementos muy difíciles de reemplazar o el tiempo de recuperación es muy largo, Por ejemplo:
Facilmente Recuperable 18%
Muy dificil recuperable 46% Razonablemente Recuperable 27% Dificilmente recuperable 9%
Todas las unidades de negocio o procesos Fácilmente recuperable Soporte Suministro de Materiales
Razonablemente recuperable Contabilidad
Difícilmente recuperable Seguridad
Muy difícil Recuperable Operaciones
Marketing
Laboratorios
Recursos Humanos
Almacén Desarrollo
Oficina principal de Ventas Calle 100 No 8A-37 Torre A Oficina 804 World Trade Center Bogota, Colombia, Sur América
Oficina de soporte Técnico Calle 23G No 81-76 Tel 410-7993, 410-8004, 410-7972, 610-3308, 618-1551. Fax: 295-4507
Oficina en Estados Unidos 1580 Sawgrass Corporate Parkway Suite 130 Sunrise, FL – 33323 Phone Number: 954-315-4596 Fax 954-838-7746 – USA
Plantilla para capacitación – Reporte ejecutivo para el análisis de impacto del negocio - BIA
Parte IV: Solución •
Propuesta de solución: Generalmente se recomienda una alternativa de computo remoto, se debe describir la estrategia recomendada
•
Conclusiones Finales: Lista una serie de actividades y sus recursos respectivos necesarios
Oficina principal de Ventas Calle 100 No 8A-37 Torre A Oficina 804 World Trade Center Bogota, Colombia, Sur América
Oficina de soporte Técnico Calle 23G No 81-76 Tel 410-7993, 410-8004, 410-7972, 610-3308, 618-1551. Fax: 295-4507
Oficina en Estados Unidos 1580 Sawgrass Corporate Parkway Suite 130 Sunrise, FL – 33323 Phone Number: 954-315-4596 Fax 954-838-7746 – USA
