Recomendaciones para la correcta preparación de un BIA

Karol Cordero

Una serie de lecciones aprendidas para hacer una correcta preparación de un análisis de impacto al negocio. Tomarlas en cuenta ayuda a mejorar la eficiencia del BIA y tener resultados exitosos. Si el proceso del BIA no se hace de manera adecuada, los datos arrojados no serán de valor para la organización y por lo tanto, el programa de continuidad de negocio se fundamentará en información errónea y probablemente fallará.

 

Las mejores prácticas profesionales del Disaster Recovery Institute (DRI) International en materia de continuidad de negocio, así como normas internacionales como el ISO 22301:2012, identifican la realización del análisis de impacto al negocio (BIA, business impact analysis), como un proceso clave al implementar un programa de continuidad de negocio (PCN).

De acuerdo con el Disaster Recovery Institute (DRI) International, el BIA busca “identificar los impactos que resultan de las interrupciones del negocio que puedan afectar a la organización, y aplicar técnicas para cuantificar y calificar tales impactos”. Además, “identificar funciones críticas con base en el tiempo, sus prioridades de recuperación e interdependencias, con el propósito de que los tiempos objetivos de recuperación de estas funciones críticas puedan ser establecidos y aprobados”.

Si el BIA se realiza de manera correcta, permitirá obtener la información mencionada anteriormente, mas si el proceso del BIA no se hace de manera adecuada, los datos arrojados no serán de valor para la organización y por lo tanto, el programa de continuidad de negocio se fundamentará en información errónea, lo que probablemente hará que el programa sea poco eficiente, la organización no realice inversiones bien fundamentadas; y a la larga, el programa de continuidad de negocio fallará.

Mi experiencia en la realización de análisis de impacto al negocio en diversas organizaciones, me ha permitido reunir una serie de lecciones aprendidas en su preparación, que al tomarlas en cuenta nos ayudará a asegurar la eficiencia del BIA y tener resultados exitosos. A continuación se describen dichas lecciones aprendidas:

  1. Contar con el apoyo de la Alta Gerencia. Debido a que el establecimiento de la continuidad del negocio debe ser un proceso holístico en la organización, será necesario reunir y obtener información de todas las áreas de la misma. Además, se deberá entrevistar a directivos de alto nivel, quienes usualmente tienen poco tiempo y no necesariamente estarán de acuerdo en brindar la información que se requiere para el BIA. La mejor manera de asegurar influencia sobre toda la organización en el nivel necesario, es contar con el apoyo de la alta gerencia, en un convencimiento de arriba hacia abajo, de modo que la alta gerencia apruebe el proyecto y los recursos necesarios para realizar el BIA. Muestras o evidencias de apoyo son la aprobación de presupuesto, la aprobación de una política de continuidad de negocio, la definición de roles y responsabilidades y la participación activa en el PCN.
  2. Definir el alcance. Con un alcance definido se sabrá en qué se debe enfocar el proyecto BIA. Se deberán definir los procesos de negocio que se desean incorporar en el PCN y así, saber qué funciones de la organización y áreas de soporte involucrar en el proyecto BIA. Un ejemplo de un alcance del proyecto BIA sería los procesos que forman parte de la cadena de valor empresarial y los procesos verticales que los soportan.
  3. Definir objetivos del proyecto BIA. Si se tienen objetivos definidos, se pueden compartir estos objetivos con los involucrados en el proyecto BIA para buscar en conjunto alcanzarlos, y de ese modo, se puede validar el resultado del proyecto, es decir, si el mismo fue eficiente y eficaz. Establecer objetivos SMART (Acrónimo en inglés de: S=specific, M=measurables, A=attainable, R=realistic, T= time), es lo más recomendable, de modo que sean específicos, medibles, alcanzables, realistas y definidos en el tiempo. Un ejemplo de un objetivo SMART sería “Realizar 5 talleres de entrevistas a 10 directivos con el fin de identificar los procesos críticos, en un lapso de 2 semanas.”
  4. Contar con un patrocinador que tenga convicción del beneficio del proyecto BIA. Este patrocinador será el apoyo directo en caso de tener alguna dificultad con algún recurso necesario para el BIA: podrá aprobar gastos, aprobar tiempo de los funcionarios para ser dedicado al BIA y será el enlace directo entre el responsable del éxito del BIA ante la alta gerencia. En mi experiencia, este patrocinador ocupa puestos de alto nivel organizacional, como lo es un subgerente o un director, y por lo general es el responsable del área que tiene a cargo la definición del programa de continuidad de negocio.
  5. Identificar a todos los funcionarios que deberán participar. Para poder planificar correctamente el BIA, con base en el alcance definido, es necesario conocer a todos los funcionarios que deben participar. De esta manera se podrá conocer con quiénes se deberán hacer entrevistas o si será necesario trasladarse a otros sitios para tener un acercamiento oportuno con los involucrados. Por lo general será necesario reunirse con los dueños de los procesos de negocio y soporte que forman parte del alcance (jefaturas) y con dos o tres personas por proceso que sean expertos en el mismo.
  6. Definir una metodología. Debe haber una metodología clara, concisa y basada en la realización de un trabajo analítico y sistemático. De este modo, se tendrá mayor credibilidad en los resultados. En mi experiencia, contar con proveedores de servicio expertos en la realización de BIA o bien con personal interno que haya aplicado previamente metodologías, facilita el proceso, ya que aporta valor y pericia.
  7. Definir criterios de criticidad. Cuando se hace el BIA, se debe hacer una clara distinción entre aquellas funciones que realmente son críticas y las funciones importantes. Usualmente todos los involucrados en el BIA suelen considerar que su función es tan importante que la catalogan como crítica en primera instancia. Por eso es esencial definir con la alta gerencia criterios que permitan tener una guía para evaluar la criticidad de las funciones de manera común y objetiva. Por ejemplo, un criterio de criticidad puede ser: aquellas funciones que se llevan a cabo directamente con servicio al cliente.
  8. Definir la información que se requiere solicitar. Para hacer un BIA de manera eficiente, se debe aprovechar el poco tiempo que se pueda obtener de los dueños de los procesos, por lo tanto es necesario utilizar cuestionarios o guías que precisen la información que se desea obtener. Para conocer previamente qué información se requiere, se deben establecer objetivos claros y organizar nuestro cuestionario para hacer preguntas específicas. Información como el detalle del proceso de negocio, el impacto de su interrupción en el tiempo, los registros de información que utiliza, sus interdependencias y los recursos claves que requieren, son datos básicos que deben ser obtenidos durante el BIA.
  9. Capacitar a los funcionarios que van a participar en entrevistas y concientizarlos de la importancia de la información que van a brindar y para qué se va a utilizar dicha información.  Antes de hacer las entrevistas del BIA, recomiendo hacer una sesión de capacitación sobre los conceptos básicos del BIA. En esta capacitación se debe involucrar a quienes participarán en el BIA y compartirles cuáles son los objetivos del proyecto BIA y cómo la información que provean será la base fundamental para todo el PCN. Concientizar a los involucrados en la importancia de la información que se requiere obtener en el BIA facilita los talleres y entrevistas, ya que los involucrados asumen la responsabilidad de la información que brindarán. En esta concientización se puede adelantar la información que se les estará requiriendo, a fin de que puedan investigarla previo a los talleres y entrevistas.
  10. Invitar a talleres y entrevistas con fechas definidas que permitan hacer compromisos de manera formal. Las entrevistas y talleres deben ser planificados, documentados y definidos con tiempo suficiente para que los dueños de los procesos puedan programar el tiempo solicitado. Debe establecerse un compromiso previo de asistencia y las citas se deben cumplir con puntualidad, con una agenda específica bien definida, controlando el avance de la sesión y asegurando el cumplimiento de los objetivos.
  11. Documentar el proceso y pedir al negocio se recaben firmas de la información que están brindando.  Se debe documentar todo el proceso del BIA, la información obtenida y los participantes. Esta documentación servirá como información base para las actualizaciones del BIA que se deberán realizar al menos una vez al año. Se recomienda también obtener las firmas de los participantes para dar mayor validez a la información brindada y esta pueda ser utilizada de manera formal en la formulación del PCN.

Ser AMIGOS del negocio

Por último, y lo más importante, los responsables de hacer el BIA, deben presentarse como “amigos” del negocio, escuchar y comprender las necesidades de los involucrados, explicarles cómo el PCN pretende facilitar la recuperación de sus procesos ante eventos de interrupción; buscar que los involucrados se comprometan con el proceso del BIA; y lo interioricen en sus procesos y áreas bajo responsabilidad de modo que se obtenga de parte de ellos información verídica, válida, actual y de valor para la organización.

 

Karol Cordero (CBCP, AL BS25999, PMP, CISM, CISA) se desempeña como supervisora en PwC Costa Rica, con especialidad en proyectos de consultoría de continuidad de negocio, gestión de riesgos, seguridad de la información y gobierno de TI. Es graduada en Ciencias de la Computación en la Universidad de Costa Rica y cuenta con una maestría en ingeniería en sistemas con mención en administración de proyectos. Es CBCP del Disaster Recovery Institute (DRI) International y es certificada como instructora del curso BCLS2000 del DRI International para DRI Costa Rica y la región. Cuenta además con certificaciones como CISM y CISA de ISACA y la PMP como administradora de proyectos del PMI. Coordinadora del seminario anual de continuidad de negocio de PwC Costa Rica, instructora de talleres de continuidad de negocio para PwC Costa Rica y con experiencia en la implementación de sistemas de gestión de continuidad de negocio con base en las mejores prácticas del DRII y la norma ISO 22301, BS25999, ISO 27031, BCI; en la industria financiera, sector gobierno y privado, entre otros.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s