Implementación de la Gestión de Continuidad del Negocio en la Planificación Estratégica

La Gestión de Continuidad del Negocio (BCM) asegura que las funciones críticas de una organización permanezcan operativas para minimizar el impacto de las interrupciones en las partes interesadas. Exploremos los pasos prácticos para implementar la Gestión de Continuidad del Negocio en el contexto de la planificación estratégica.

Una plantilla para la gestión de continuidad del negocio en BSC Designer.

Una plantilla para la gestión de continuidad del negocio en BSC Designer. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Un enfoque de gestión de continuidad del negocio según ISO 22301 implica:

  1. Identificar elementos críticos del negocio
  2. Analizar amenazas y riesgos
  3. Crear planes de prevención y respuesta, incluyendo capacitación y simulaciones
  4. Rastrear y aprender de los incidentes

Para integrar estos elementos en la planificación estratégica:

  • Emplearemos un método de descomposición basada en el valor
  • Cuantificar estrategias y planes con métricas de desempeño
  • Mantener registros accionables en forma de iniciativas, riesgos y comentarios

Identificación de Elementos Críticos del Negocio

Nuestro objetivo es identificar elementos clave del negocio críticos para la continuidad del negocio. Usamos las siguientes perspectivas como punto de partida:

  • Sistemas de Información
  • Instalaciones y Ubicaciones
  • Socios y Partes Interesadas
  • Recursos Humanos
  • Activos Físicos
  • Recursos Financieros

Elementos críticos del negocio y su tiempo de recuperación

Elementos críticos del negocio y su tiempo de recuperación. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Una vez que los elementos y subelementos estén definidos, podemos cuantificar su susceptibilidad a eventos de riesgo estableciendo Objetivos de Tiempo de Recuperación (RTO).

Para el Objetivo de Tiempo de Recuperación, definimos:

  • Unidades de medida (por ejemplo, horas o días)
  • El “Valor Base” como el tiempo de recuperación catastrófico
  • El “Objetivo” como el tiempo de recuperación deseado
  • El valor actual, como el tiempo de recuperación estimado basado en tecnologías y políticas existentes

Objetivo de tiempo de recuperación para la base de datos de usuarios

Objetivo de tiempo de recuperación para la base de datos de usuarios Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Con estos datos, podemos calcular el desempeño de cada elemento del negocio en términos de susceptibilidad o preparación en caso de un evento de emergencia.

En este contexto:

  • Un valor más bajo (por ejemplo, un tiempo de recuperación más rápido) resultará en un mayor desempeño
  • La función de desempeño no debe ser lineal; el área extensa próxima al valor base “catastrófico” debe ser la zona roja

Función de desempeño para RTO configurada con decaimiento exponencial

Objetivo de tiempo de recuperación para la base de datos de usuarios Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

En BSC Designer:

  • Defina el valor base de recuperación requerido, el objetivo y el valor actual en la pestaña de Datos.
  • Use la función de “Decaimiento exponencial” para crear una función de desempeño con una zona verde relativamente pequeña para tiempos de recuperación cercanos al objetivo y una zona roja significativa para tiempos de recuperación más largos.

El software permite el seguimiento de los RTOs para cada elemento del negocio a lo largo del tiempo.

Análisis de Amenazas y Riesgos

Analice las posibles amenazas utilizando estas perspectivas como punto de partida:

  • Operacional
  • Tecnológica
  • Económica
  • Fuerza laboral
  • Seguridad
  • Ambiental
  • Reputación
  • Legal

Para cada amenaza relevante, realice una descomposición en riesgos específicos y lleve a cabo un Análisis de Impacto en el Negocio (BIA).

Análisis de amenazas y riesgos con estimación de riesgo

Análisis de amenazas y riesgos con estimación de riesgo. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Por ejemplo, puede desglosar las amenazas tecnológicas en ‘Amenazas de ciberseguridad’ y más en un ‘Ataque de ransomware.’

El riesgo en este caso puede ser cuantificado mediante una fórmula simple de estimación de riesgo, como probabilidad multiplicada por impacto. Diversas formas de definir riesgos fueron discutidas en un artículo aparte.

Escenarios de Respuesta

Desarrolle escenarios de respuesta para las amenazas con las puntuaciones de estimación de impacto de riesgo más altas.

Un escenario típico incluirá:

  • Planes de continuidad del negocio (prevención, respuesta, recuperación)
  • Plan de comunicación
  • Planes de capacitación y prueba

Estos planes pueden ser cuantificados por:

KPI Métrica de actualización regular

KPI Cobertura de capacitación

KPI Éxito de simulaciones / ejercicios

Planes de continuidad del negocio definidos para el escenario.

Planes de continuidad del negocio definidos para el escenario. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Considere ‘Escenario 1 – Ataque de Ransomware,’ que se desglosa en:

  • Planes de Continuidad del Negocio
  • Capacitación y Prueba

La sección de ‘Planes de Continuidad del Negocio’ incluye varias iniciativas:

  • Estrategia de Prevención
  • Estrategia de Respuesta
  • Estrategia de Recuperación
  • Planes de Comunicación

Dentro de los ‘Planes de Comunicación,’ la métrica ‘Plan revisado regularmente’ cuantifica la frecuencia de las actualizaciones. El propietario de la métrica recibe recordatorios regulares para revisar los planes de comunicación, asegurando que las personas de contacto y sus detalles se mantengan actualizados.

Iniciativa de capacitación y simulación de ataque de phishing

Planes de continuidad del negocio definidos para el escenario. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Para validar la efectividad de la iniciativa ‘Estrategia de Respuesta,’ la cuantificamos con el indicador ‘Simulaciones / Ejercicios.’

La sección de ‘Capacitación y Prueba’ incluye la iniciativa de ‘Capacitación y simulación de ataque de phishing,’ junto con dos métricas:

  • Cobertura de capacitación
  • Simulaciones / Ejercicios

Mientras estos planes de continuidad se presentan como iniciativas, es posible una mayor descomposición. Podemos desglosarlos en sub-objetivos y métricas más específicas.

Mapeo de Incidentes o Disrupciones

Para mapear incidentes activos, incluya detalles de disrupción y análisis de la causa raíz.

Para cuantificar el impacto, podemos usar el índice de evaluación de impacto ponderado que consiste en:

KPI Impacto financiero

KPI Impacto en las relaciones con los clientes (cuantificado como un porcentaje de clientes afectados)

KPI Impacto en las operaciones (cuantificado como un porcentaje de operaciones críticas afectadas)

KPI Impacto legal y de cumplimiento (cuantificado por multas y otras consecuencias legales)

KPI Impacto en la reputación a largo plazo (cuantificado como un porcentaje de clientes perdidos en un período de 1 año atribuido a la crisis)

Evaluación del impacto con un índice ponderado.

Evaluación del impacto con un índice ponderado. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Después de resolver un incidente:

  • Actualice la fecha de finalización en el elemento ‘Detalles y análisis de la disrupción’
  • Cambie su estado a ‘Completado’
  • Mapee lecciones aprendidas e iniciativas de mejora
  • Mueva el grupo ‘Incidente 1’ a la sección ‘Incidentes Pasados.’

Herencia e Intervalos de Actualización para Indicadores

Dependiendo de la naturaleza de la cuantificación, los indicadores en el cuadro de mando de continuidad del negocio deben configurarse de varias maneras.

Métricas que Reutilizan Valores Anteriores (Heredados)

Los indicadores que cuantifican el RTO (Objetivo de Tiempo de Recuperación) están configurados para usar valores heredados. En la práctica, esto significa que el RTO definido para el año actual se aplicará automáticamente para el próximo año a menos que se redefina. El intervalo de actualización para estos indicadores se establece en actualizaciones anuales o semestrales.

Los indicadores utilizados para cuantificar el BIA (Análisis de Impacto en el Negocio) también están configurados para usar valores heredados. Los intervalos de actualización en este caso pueden ajustarse según la dinámica esperada de la amenaza, utilizando mensual para amenazas más dinámicas e intervalos trimestrales/anuales para amenazas estables.

Configuración de herencia de valores para el indicador de revisión del plan.

Configuración de herencia de valores para el indicador de revisión del plan. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Métricas que No Reutilizan Valores Anteriores (Valores Introducidos)

Las métricas utilizadas para cuantificar los planes de continuidad del negocio, como ‘planes revisados regularmente,’ ‘cobertura de capacitación,’ y ‘ejercicios de simulación,’ están configuradas para intervalos de actualización trimestrales o anuales. La opción de herencia en este caso está configurada como ‘Usar valores introducidos,’ lo que significa que no reutilizamos el valor anterior para el siguiente período.

Por ejemplo, si los planes se marcan como revisados para el año actual, para el próximo año, necesitaríamos revisar los planes nuevamente y actualizar el estado de la métrica correspondiente.

Métricas sin Actualización Programada

Finalmente, el intervalo de actualización de las métricas utilizadas para la evaluación del impacto de los incidentes está configurado como ‘Nunca,’ indicando que estamos interesados en capturar solo el estado actual del indicador sin intención de monitorear su evolución a lo largo del tiempo.

Vinculación por Contexto y Datos

El concepto fundamental de la gestión de continuidad del negocio implica establecer conexiones entre:

  • Elementos críticos del negocio
  • Amenazas y riesgos
  • Escenarios
  • Incidentes reales

Al crear estas conexiones, equipamos a nuestro equipo con todos los detalles necesarios para responder efectivamente a las amenazas y aprender de los incidentes.

Para implementar este concepto en la planificación estratégica, vinculamos todos los elementos mencionados por contexto. De esta manera, podemos navegar desde los incidentes reales a los escenarios correspondientes y, si es necesario, explorar análisis de amenazas y riesgos.

Una conexión contextual entre un incidente y un escenario.

Configuración de herencia de valores para el indicador de revisión del plan. Fuente: Ver Gestión de Continuidad del Negocio en línea en BSC Designer Gestión de Continuidad del Negocio.

Para establecer el contexto en BSC Designer:

  1. Copie el elemento fuente (por ejemplo, escenario relevante) al portapapeles.
  2. Seleccione el elemento de destino (por ejemplo, incidente cubierto por el escenario).
  3. Pegue desde el portapapeles y elija entre ‘Vincular por Contexto’ o ‘Vincular por Datos.’

Las conexiones contextuales estarán disponibles en la pestaña ‘Contexto’ para ambos elementos.

Para navegar entre elementos, haga doble clic en la conexión relevante.

Aplicando la misma lógica, las estrategias de respuesta con cuadros de mando de estrategia dedicados pueden alinearse con incidentes, evaluaciones de riesgos y elementos críticos del negocio.

Use la plantilla Gestión de Continuidad del Negocio

BSC Designer ayuda a las organizaciones a implementar sus estrategias complejas:

  1. Regístrese para un plan gratuito en la plataforma.
  2. Use la plantilla Scorecard Template Gestión de Continuidad del Negocio como punto de partida. La encontrará en Nuevo > Nuevo cuadro de mando > Más plantillas.
  3. Siga nuestro Sistema de Implementación de Estrategias para alinear a los interesados y las ambiciones estratégicas en una estrategia integral.

¡Comience hoy y vea cómo BSC Designer puede simplificar la implementación de su estrategia!

Cita: Alexis Savkín, "Implementación de la Gestión de Continuidad del Negocio en la Planificación Estratégica", BSC Designer, 12 junio, 2024, https://bscdesigner.com/es/business-continuity-management.htm.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.