Implementar la gestión de continuidad del negocio en la planificación estratégica

page_title=La gestión de la continuidad del negocio

page_description=La gestión de la continuidad del negocio (BCM) garantiza que las funciones críticas de una organización sigan operativas para minimizar el impacto de las interrupciones en los interesados. Exploremos los pasos prácticos para implementar la gestión de la continuidad del negocio dentro del contexto de la planificación estratégica.

Una plantilla para la gestión de la continuidad del negocio en BSC Designer.

Una plantilla para la gestión de la continuidad del negocio en BSC Designer. Fuente: Ver Gestión de la Continuidad del Negocio en línea en BSC Designer Gestión de la Continuidad del Negocio.

Un enfoque para la gestión de la continuidad del negocio según la norma ISO 22301 involucra:

  1. Identificar elementos críticos del negocio
  2. Analizar amenazas y riesgos
  3. Crear planes de prevención y respuesta, incluyendo capacitación y simulaciones
  4. Rastrear y aprender de los incidentes

Para integrar estos elementos en la planificación estratégica:

  • Emplearemos un método de descomposición basada en el valor
  • Cuantificar estrategias y planes con métricas de rendimiento
  • Mantener registros accionables en forma de iniciativas, riesgos y comentarios

Identificación de elementos críticos del negocio

Nuestro objetivo es identificar elementos clave del negocio críticos para la continuidad del negocio. Utilizamos las siguientes perspectivas como punto de partida:

  • Sistemas de Información
  • Instalaciones y Ubicaciones
  • Socios y Partes Interesadas
  • Recursos Humanos
  • Activos Físicos
  • Recursos Financieros

Critical business elements and their recovery time

Critical business elements and their recovery time. Fuente: Ver Business Continuity Management en línea en BSC Designer Business Continuity Management.

Una vez definidos los elementos y sub-elementos, podemos cuantificar su susceptibilidad a eventos de riesgo estableciendo Objetivos de Tiempo de Recuperación (RTO).

Para el Objetivo de Tiempo de Recuperación, definimos:

  • Unidades de medida (por ejemplo, horas o días)
  • El “Punto de Referencia” como el tiempo de recuperación catastrófico
  • El “Objetivo” como el tiempo de recuperación deseado
  • El valor actual, como el tiempo de recuperación estimado basado en tecnologías y políticas vigentes

Recovery time objective for user database

Recovery time objective for user database Fuente: Ver Business Continuity Management en línea en BSC Designer Business Continuity Management.

Con estos datos, podemos calcular el desempeño de cada elemento del negocio en términos de susceptibilidad o preparación en caso de un evento de emergencia.

En este contexto:

  • Un valor más bajo (por ejemplo, tiempo de recuperación más rápido) resultará en un mayor desempeño
  • La función de desempeño no debe ser lineal; la extensa área junto al punto de referencia “catastrófico” debe ser la zona roja

Performance function for RTO configured to exponential decay

Recovery time objective for user database Fuente: Ver Business Continuity Management en línea en BSC Designer Business Continuity Management.

En BSC Designer:

  • Defina el punto de referencia de recuperación requerido, el objetivo y el valor actual en la pestaña de Datos.
  • Use la función de “Decaimiento exponencial” para crear una función de desempeño con una zona verde relativamente pequeña para tiempos de recuperación cercanos al objetivo y una zona roja significativa para tiempos de recuperación más largos.

El software permite el seguimiento de los RTO para cada elemento del negocio a lo largo del tiempo.

Análisis de amenazas y riesgos

Analice las amenazas potenciales utilizando estas perspectivas como punto de partida:

  • Operacional
  • Tecnológica
  • Económica
  • Fuerza laboral
  • Seguridad y protección
  • Ambiental
  • Reputación
  • Legal

Para cada amenaza relevante, realice una descomposición en riesgos específicos y lleve a cabo un Análisis de Impacto en el Negocio (BIA).

Análisis de amenazas y riesgos con estimación de riesgos

Análisis de amenazas y riesgos con estimación de riesgos. Fuente: Ver Gestión de la Continuidad del Negocio en línea en BSC Designer Gestión de la Continuidad del Negocio.

Por ejemplo, puede desglosar las amenazas tecnológicas en ‘amenazas de ciberseguridad’ y más adelante en un ‘ataque de ransomware’.

El riesgo en este caso se puede cuantificar mediante una fórmula simple de estimación de riesgo, como la probabilidad multiplicada por el impacto. Varias formas de definir riesgos se discutieron en un artículo aparte.

Escenarios de respuesta

Desarrolle escenarios de respuesta para amenazas con las puntuaciones más altas en la estimación del impacto del riesgo.

Un escenario típico incluirá:

  • Planes de continuidad de negocio (prevención, respuesta, recuperación)
  • Plan de comunicación
  • Planes de formación y prueba

Estos planes pueden ser cuantificados por:

KPI Métrica de actualización regular

KPI Cobertura de formación

KPI Éxito en simulaciones / ejercicios

Planes de continuidad de negocio definidos para el escenario.

Planes de continuidad de negocio definidos para el escenario. Fuente: Ver Business Continuity Management en línea en BSC Designer Business Continuity Management.

Considere ‘Escenario 1 – Ataque de ransomware,’ que se desglosa en:

  • Planes de continuidad de negocio
  • Formación y prueba

La sección de ‘Planes de continuidad de negocio’ incluye varias iniciativas:

  • Estrategia de prevención
  • Estrategia de respuesta
  • Estrategia de recuperación
  • Planes de comunicación

Dentro de los ‘Planes de comunicación,’ la métrica ‘Plan revisado regularmente’ cuantifica la frecuencia de las actualizaciones. El responsable de la métrica recibe recordatorios regulares para revisar los planes de comunicación, asegurando que las personas de contacto y sus detalles se mantengan actualizados.

Iniciativa de formación y simulación de ataques de phishing

Planes de continuidad de negocio definidos para el escenario. Fuente: Ver Business Continuity Management en línea en BSC Designer Business Continuity Management.

Para validar la efectividad de la iniciativa ‘Estrategia de respuesta,’ la cuantificamos con el indicador de ‘Simulaciones / Ejercicios.’

La sección de ‘Formación y prueba’ incluye la iniciativa de ‘Formación y simulación de ataques de phishing,’ junto con dos métricas:

  • Cobertura de formación
  • Simulaciones / Ejercicios

Aunque estos planes de continuidad se presentan como iniciativas, es posible una descomposición adicional. Podemos desglosarlos en subobjetivos y métricas más específicos.

Mapear incidentes o interrupciones

Para mapear incidentes activos, incluya detalles de la interrupción y análisis de la causa raíz.

Para cuantificar el impacto, podemos usar el índice de evaluación de impacto ponderado que consiste en:

KPI Impacto financiero

KPI Impacto en las relaciones con los clientes (cuantificado como un porcentaje de clientes afectados)

KPI Impacto en las operaciones (cuantificado como un porcentaje de operaciones críticas afectadas)

KPI Impacto legal y de cumplimiento (cuantificado por multas y otras consecuencias legales)

KPI Impacto en la reputación a largo plazo (cuantificado como un porcentaje de clientes perdidos en un período de 1 año atribuido a la crisis)

Evaluación de impacto con un índice ponderado.

Evaluación de impacto con un índice ponderado. Fuente: Ver Business Continuity Management en línea en BSC Designer Business Continuity Management.

Para automatizar este índice en la plataforma de BSC Designer, considere usar la función de sincronización desde plantilla, que permite mantener los criterios de cuantificación de impacto sincronizados con la plantilla establecida.

Después de resolver un incidente:

  • Actualice la fecha de finalización en el elemento ‘Detalles de la interrupción y análisis’
  • Cambie su estado a ‘Completado’
  • Mapee las lecciones aprendidas y las iniciativas de mejora
  • Mueva el grupo ‘Incidente 1’ a la sección ‘Incidentes pasados’.

Herencia e intervalos de actualización para indicadores

Dependiendo de la naturaleza de la cuantificación, los indicadores en el cuadro de mando de continuidad del negocio necesitan configurarse de varias maneras.

Metricas reutilizando valores previos (heredados)

Los indicadores que cuantifican el RTO (Objetivo de Tiempo de Recuperación) están configurados para usar valores heredados. En la práctica, esto significa que el RTO definido para el año en curso se aplicará automáticamente para el próximo año a menos que se redefina. El intervalo de actualización para estos indicadores está establecido en actualizaciones anuales o semestrales.

Dos Opciones para Heredar el Estado Previo de un Indicador

Los indicadores utilizados para cuantificar el BIA (Análisis de Impacto en el Negocio) también están configurados para usar valores heredados. Los intervalos de actualización en este caso se pueden ajustar según la dinámica esperada de la amenaza, utilizando mensual para amenazas más dinámicas e intervalos trimestrales/anuales para amenazas estables.

Configuración de herencia de valores para el indicador de revisión de plan.

Configuración de herencia de valores para el indicador de revisión de plan. Fuente: Ver Business Continuity Management en línea en BSC Designer Business Continuity Management.

Métricas que no reutilizan valores anteriores (valores ingresados)

Las métricas utilizadas para cuantificar los planes de continuidad del negocio, como ‘planes revisados regularmente’, ‘cobertura de capacitación’ y ‘ejercicios de simulación’, están configuradas para intervalos de actualización trimestrales o anuales. La opción de herencia en este caso se configura como ‘Usar valores ingresados,‘ lo que significa que no reutilizamos el valor anterior para el siguiente período.

Por ejemplo, si los planes están marcados como revisados para el año en curso, para el próximo año, necesitaríamos revisar los planes nuevamente y actualizar el estado de la métrica correspondiente.

Métricas sin actualización programada

Finalmente, el intervalo de actualización de las métricas utilizadas para la evaluación del impacto de los incidentes está configurado como ‘Nunca‘, lo que indica que estamos interesados en capturar solo el estado actual del indicador sin intención de monitorear su evolución a lo largo del tiempo.

Vinculación por contexto y datos

El concepto fundamental de la gestión de la continuidad del negocio implica establecer conexiones entre:

  • Elementos críticos del negocio
  • Amenazas y riesgos
  • Escenarios
  • Incidentes reales

Al crear estas conexiones, equipamos a nuestro equipo con todos los detalles necesarios para responder eficazmente a las amenazas y aprender de los incidentes.

Para implementar este concepto en la planificación estratégica, vinculamos todos los elementos mencionados por contexto. De esta manera, podemos navegar desde los incidentes reales a los escenarios correspondientes y, si es necesario, explorar las amenazas y el análisis de riesgos.

Un enlace contextual entre un incidente y un escenario.

Configuración de herencia de valor para el indicador de revisión del plan. Fuente: Ver Gestión de la Continuidad del Negocio en línea en BSC Designer Gestión de la Continuidad del Negocio.

Para establecer el contexto en BSC Designer:

  1. Copie el elemento fuente (por ejemplo, escenario relevante) al portapapeles.
  2. Seleccione el elemento de destino (por ejemplo, incidente cubierto por el escenario).
  3. Pegue desde el portapapeles y elija entre ‘Vincular por contexto’ o ‘Vincular por datos.’

Las conexiones contextuales estarán disponibles en la pestaña ‘Contexto’ para ambos elementos.

Para navegar entre elementos, haga doble clic en la conexión relevante.

Aplicando la misma lógica, las estrategias de respuesta con cuadros de mando estratégicos dedicados pueden ser alineadas con incidentes, evaluaciones de riesgos y elementos críticos del negocio.

Un cuadro de mando estratégico para la respuesta a crisis: usando COVID-19 como ejemplo

La estrategia de continuidad de negocio asegura la preparación general de una organización para un evento de crisis. Dependiendo de la magnitud de la crisis, se puede diseñar una estrategia de respuesta específica. La pandemia de COVID-19 fue un ejemplo de ello, donde dicha estrategia ayudó a enfocar los esfuerzos y asegurar la alineación estratégica.

Revisemos la estrategia de COVID-19 como un ejemplo de estrategia de respuesta a crisis. El cuadro de mando estratégico siguió el enfoque clásico del Cuadro de Mando Integral:

COVID 19 - un mapa de estrategia plantilla para la estrategia de respuesta al Coronavirus

La estrategia de respuesta a Covid-19 presentada a través de las cuatro perspectivas del Cuadro de Mando Integral. Fuente: Ver Covid-19 Strategy Scorecard en línea en BSC Designer Covid-19 Strategy Scorecard.

En la perspectiva de Aprendizaje y Crecimiento, nos centramos en las habilidades e infraestructuras necesarias para ejecutar la estrategia de continuidad de negocio:

  • Educando a los empleados sobre COVID-19 (medido por indicador de actuación «Penetración del programa de concienciación, %» e indicador de resultado «% de prácticas realmente implementadas«)
  • Realizando planificación de escenarios globales (con algunas iniciativas específicas alineadas)
  • Alineando los sistemas de TI con los desafíos del trabajo remoto
  • Introduciendo a los empleados a los principios del trabajo remoto

En la perspectiva Interna, formulamos los objetivos relacionados con los sistemas internos de negocio que ayudarán a ejecutar la estrategia de continuidad de negocio de manera efectiva:

En la perspectiva de las partes interesadas, nos enfocamos en las necesidades de nuestras partes interesadas (empleados, clientes, socios). Aquí, mapeamos objetivos tales como:

  • Anticipar el impacto en las necesidades de atención médica
  • Anticipar el impacto en las necesidades educativas
  • Anticipar el impacto en las necesidades diarias

Otro importante interesado es la comunidad y sus necesidades. Si tiene un cuadro de mando no lucrativo dedicado, encontrará un objetivo similar allí.

La plantilla de mapa de estrategia de continuidad de negocio incluye varias iniciativas alineadas con el objetivo de «Necesidades de la comunidad». Estas iniciativas describen posibles maneras en que una organización puede contribuir:

  • Reutilización de líneas de producción. Por ejemplo, Inditex, dueño de la cadena de tiendas Zara, comienza a fabricar batas de hospital.
  • Reutilización de productos y servicios. Por ejemplo, Decathlon está donando máscaras de snorkel a hospitales. El Splendid del Grupo MSC fue convertido en un barco hospital.
  • Contribuyendo al distanciamiento social. Por ejemplo, la Posta Checa permite enviar correo registrado gratis a través de su «Datová schránka» durante la duración de la emergencia declarada.

Debido a las limitaciones de viaje, muchas empresas han pasado de formatos de eventos presenciales a eventos en línea. Aunque los costos de las plataformas de transmisión son más bajos, las organizaciones necesitan luchar por la atención de los asistentes. En este artículo, compartimos nuestro enfoque para los eventos en línea que ha demostrado ofrecer resultados estables en términos de compromiso del cliente e impacto comercial a largo plazo.

Finalmente, en la perspectiva financiera, mapeamos los objetivos financieros relevantes y los resultados esperados. En este caso, estamos hablando de:

  • Impacto en los ingresos
  • Pólizas de seguro aplicables

Use la plantilla Gestión de Continuidad del Negocio

BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:

  1. Regístrese para un plan gratuito en la plataforma.
  2. Use la plantilla Scorecard Template Gestión de Continuidad del Negocio como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
  3. Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.

¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!

Cita: Alexis Savkín, "Implementar la gestión de continuidad del negocio en la planificación estratégica", BSC Designer, 12 junio, 2024, https://bscdesigner.com/es/business-continuity-management.htm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.