La Gestión de Continuidad del Negocio (BCM) asegura que las funciones críticas de una organización permanezcan operativas para minimizar el impacto de las interrupciones en las partes interesadas. Exploremos los pasos prácticos para implementar la Gestión de Continuidad del Negocio en el contexto de la planificación estratégica.
Un enfoque de gestión de continuidad del negocio según ISO 22301 implica:
- Identificar elementos críticos del negocio
- Analizar amenazas y riesgos
- Crear planes de prevención y respuesta, incluyendo capacitación y simulaciones
- Rastrear y aprender de los incidentes
Para integrar estos elementos en la planificación estratégica:
- Emplearemos un método de descomposición basada en el valor
- Cuantificar estrategias y planes con métricas de desempeño
- Mantener registros accionables en forma de iniciativas, riesgos y comentarios
Identificación de Elementos Críticos del Negocio
Nuestro objetivo es identificar elementos clave del negocio críticos para la continuidad del negocio. Usamos las siguientes perspectivas como punto de partida:
- Sistemas de Información
- Instalaciones y Ubicaciones
- Socios y Partes Interesadas
- Recursos Humanos
- Activos Físicos
- Recursos Financieros
Una vez que los elementos y subelementos estén definidos, podemos cuantificar su susceptibilidad a eventos de riesgo estableciendo Objetivos de Tiempo de Recuperación (RTO).
Para el Objetivo de Tiempo de Recuperación, definimos:
- Unidades de medida (por ejemplo, horas o días)
- El “Valor Base” como el tiempo de recuperación catastrófico
- El “Objetivo” como el tiempo de recuperación deseado
- El valor actual, como el tiempo de recuperación estimado basado en tecnologías y políticas existentes
Con estos datos, podemos calcular el desempeño de cada elemento del negocio en términos de susceptibilidad o preparación en caso de un evento de emergencia.
En este contexto:
- Un valor más bajo (por ejemplo, un tiempo de recuperación más rápido) resultará en un mayor desempeño
- La función de desempeño no debe ser lineal; el área extensa próxima al valor base “catastrófico” debe ser la zona roja
En BSC Designer:
- Defina el valor base de recuperación requerido, el objetivo y el valor actual en la pestaña de Datos.
- Use la función de “Decaimiento exponencial” para crear una función de desempeño con una zona verde relativamente pequeña para tiempos de recuperación cercanos al objetivo y una zona roja significativa para tiempos de recuperación más largos.
El software permite el seguimiento de los RTOs para cada elemento del negocio a lo largo del tiempo.
Análisis de Amenazas y Riesgos
Analice las posibles amenazas utilizando estas perspectivas como punto de partida:
- Operacional
- Tecnológica
- Económica
- Fuerza laboral
- Seguridad
- Ambiental
- Reputación
- Legal
Para cada amenaza relevante, realice una descomposición en riesgos específicos y lleve a cabo un Análisis de Impacto en el Negocio (BIA).
Por ejemplo, puede desglosar las amenazas tecnológicas en ‘Amenazas de ciberseguridad’ y más en un ‘Ataque de ransomware.’
El riesgo en este caso puede ser cuantificado mediante una fórmula simple de estimación de riesgo, como probabilidad multiplicada por impacto. Diversas formas de definir riesgos fueron discutidas en un artículo aparte.
Escenarios de Respuesta
Desarrolle escenarios de respuesta para las amenazas con las puntuaciones de estimación de impacto de riesgo más altas.
Un escenario típico incluirá:
- Planes de continuidad del negocio (prevención, respuesta, recuperación)
- Plan de comunicación
- Planes de capacitación y prueba
Estos planes pueden ser cuantificados por:
Métrica de actualización regular
Cobertura de capacitación
Éxito de simulaciones / ejercicios
Considere ‘Escenario 1 – Ataque de Ransomware,’ que se desglosa en:
- Planes de Continuidad del Negocio
- Capacitación y Prueba
La sección de ‘Planes de Continuidad del Negocio’ incluye varias iniciativas:
- Estrategia de Prevención
- Estrategia de Respuesta
- Estrategia de Recuperación
- Planes de Comunicación
Dentro de los ‘Planes de Comunicación,’ la métrica ‘Plan revisado regularmente’ cuantifica la frecuencia de las actualizaciones. El propietario de la métrica recibe recordatorios regulares para revisar los planes de comunicación, asegurando que las personas de contacto y sus detalles se mantengan actualizados.
Para validar la efectividad de la iniciativa ‘Estrategia de Respuesta,’ la cuantificamos con el indicador ‘Simulaciones / Ejercicios.’
La sección de ‘Capacitación y Prueba’ incluye la iniciativa de ‘Capacitación y simulación de ataque de phishing,’ junto con dos métricas:
- Cobertura de capacitación
- Simulaciones / Ejercicios
Mientras estos planes de continuidad se presentan como iniciativas, es posible una mayor descomposición. Podemos desglosarlos en sub-objetivos y métricas más específicas.
Mapeo de Incidentes o Disrupciones
Para mapear incidentes activos, incluya detalles de disrupción y análisis de la causa raíz.
Para cuantificar el impacto, podemos usar el índice de evaluación de impacto ponderado que consiste en:
Impacto financiero
Impacto en las relaciones con los clientes (cuantificado como un porcentaje de clientes afectados)
Impacto en las operaciones (cuantificado como un porcentaje de operaciones críticas afectadas)
Impacto legal y de cumplimiento (cuantificado por multas y otras consecuencias legales)
Impacto en la reputación a largo plazo (cuantificado como un porcentaje de clientes perdidos en un período de 1 año atribuido a la crisis)
Después de resolver un incidente:
- Actualice la fecha de finalización en el elemento ‘Detalles y análisis de la disrupción’
- Cambie su estado a ‘Completado’
- Mapee lecciones aprendidas e iniciativas de mejora
- Mueva el grupo ‘Incidente 1’ a la sección ‘Incidentes Pasados.’
Herencia e Intervalos de Actualización para Indicadores
Dependiendo de la naturaleza de la cuantificación, los indicadores en el cuadro de mando de continuidad del negocio deben configurarse de varias maneras.
Métricas que Reutilizan Valores Anteriores (Heredados)
Los indicadores que cuantifican el RTO (Objetivo de Tiempo de Recuperación) están configurados para usar valores heredados. En la práctica, esto significa que el RTO definido para el año actual se aplicará automáticamente para el próximo año a menos que se redefina. El intervalo de actualización para estos indicadores se establece en actualizaciones anuales o semestrales.
Los indicadores utilizados para cuantificar el BIA (Análisis de Impacto en el Negocio) también están configurados para usar valores heredados. Los intervalos de actualización en este caso pueden ajustarse según la dinámica esperada de la amenaza, utilizando mensual para amenazas más dinámicas e intervalos trimestrales/anuales para amenazas estables.
Métricas que No Reutilizan Valores Anteriores (Valores Introducidos)
Las métricas utilizadas para cuantificar los planes de continuidad del negocio, como ‘planes revisados regularmente,’ ‘cobertura de capacitación,’ y ‘ejercicios de simulación,’ están configuradas para intervalos de actualización trimestrales o anuales. La opción de herencia en este caso está configurada como ‘Usar valores introducidos,’ lo que significa que no reutilizamos el valor anterior para el siguiente período.
Por ejemplo, si los planes se marcan como revisados para el año actual, para el próximo año, necesitaríamos revisar los planes nuevamente y actualizar el estado de la métrica correspondiente.
Métricas sin Actualización Programada
Finalmente, el intervalo de actualización de las métricas utilizadas para la evaluación del impacto de los incidentes está configurado como ‘Nunca,’ indicando que estamos interesados en capturar solo el estado actual del indicador sin intención de monitorear su evolución a lo largo del tiempo.
Vinculación por Contexto y Datos
El concepto fundamental de la gestión de continuidad del negocio implica establecer conexiones entre:
- Elementos críticos del negocio
- Amenazas y riesgos
- Escenarios
- Incidentes reales
Al crear estas conexiones, equipamos a nuestro equipo con todos los detalles necesarios para responder efectivamente a las amenazas y aprender de los incidentes.
Para implementar este concepto en la planificación estratégica, vinculamos todos los elementos mencionados por contexto. De esta manera, podemos navegar desde los incidentes reales a los escenarios correspondientes y, si es necesario, explorar análisis de amenazas y riesgos.
Para establecer el contexto en BSC Designer:
- Copie el elemento fuente (por ejemplo, escenario relevante) al portapapeles.
- Seleccione el elemento de destino (por ejemplo, incidente cubierto por el escenario).
- Pegue desde el portapapeles y elija entre ‘Vincular por Contexto’ o ‘Vincular por Datos.’
Las conexiones contextuales estarán disponibles en la pestaña ‘Contexto’ para ambos elementos.
Para navegar entre elementos, haga doble clic en la conexión relevante.
Aplicando la misma lógica, las estrategias de respuesta con cuadros de mando de estrategia dedicados pueden alinearse con incidentes, evaluaciones de riesgos y elementos críticos del negocio.
Use la plantilla Gestión de Continuidad del Negocio
BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:
- Regístrese para un plan gratuito en la plataforma.
- Use la plantilla Gestión de Continuidad del Negocio como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
- Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.
¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!
Alexis es un Consultor Senior de Estrategia y CEO en BSC Designer, con más de 20 años de experiencia en planificación estratégica. Alexis desarrolló el «Sistema de Implementación de Estrategias en 5 Pasos» que ayuda a las empresas con la implementación práctica de sus estrategias. Es un orador habitual en conferencias de la industria y ha publicado más de 100 artículos sobre estrategia y gestión del rendimiento, incluyendo el libro «Sistema KPI de 10 Pasos». Su trabajo es frecuentemente citado en investigaciones académicas.