Como seguramente sepan, desde hace poco más de un mes tenemos la suerte de contar con una nueva norma ISO relacionada con la Continuidad de Negocio, concretamente la norma ISO 22301:2012, Societal Security – Business continuity management systems – Requirements. Como ya pasó con la norma BS 7799 y la norma ISO 27001, y es que estos británicos en temas normativos nos sacan un cuerpo y dos cabezas a todos, esta nueva norma toma como referencia a la BS 25999:2, Specification, aunque introduce algunas diferencias que pueden ver en esta infografía del blog de Dejan Kosutic.
Tras esta norma, es de esperar que en algunos meses sea publicada la guía de implantación, la norma ISO/DIS 22313, Societal security – Business continuity management systems – Guidance, correspondiente a la norma BS 25999-1, Code of practice. Actualmente está en estado Under development, fase “Enquiry stage / Close of voting“. Teniendo en cuenta que a la ISO 22301 se le esperaba hace ya algunos meses, no sería raro que esta nueva norma se publique ya bien entrado el 2013; hasta entonces, siempre nos quedarán los británicos y su excelente BS 25999-1.
Tras esta no tan breve introducción, que sirve para poner en contexto, la intención de esta serie de entradas es arrojar algo de luz sobre la continuidad de negocio, para lo que vamos a comenzar en esta entrada saltándonos los preliminares (algo que suele ser una mala costumbre) y pasando directamente al Análisis de Impacto sobre el Negocio (Business Impact Analysis) o BIA, por sus siglas en inglés. Para ello me basaré en la ISO 22301 recientemente publicada y en la norma británica. Más adelante veremos otros aspectos de la continuidad de negocio, desde un resumen de todos los elementos de la norma a los aspectos destacables de cada uno de ellos, así como a la relación entre el BIA y el Análisis de Riesgos, que siempre he encontrado poco desarrollada. Vamos pues con el Análisis de Impacto sobre el Negocio.
Si leemos el punto 8.2.2 Business Impact Analysis de la ISO 22301, este indica (traducción libre y resumida) que la organización deberá establecer, implementar y mantener un proceso de evaluación formal y documentado para establecer las prioridades y objetivos (en el sentido de hitos y también de targets) de continuidad y recuperación, así como evaluar los impactos de aquellas actividades que pueden interferir sobre la continuidad de los procesos (disrupting activities según la norma). Para cada actividad, el BIA deberá contener (al menos):
b) el impacto a través del tiempo que tiene sobre la organización la interrupción de las actividades indicadas previamente,
c) los tiempos de recuperación (o puesta en marcha) de las actividades identificadas en a) en unas condiciones mínimas aceptables, teniendo en cuenta los tiempos de recuperación en los que el impacto de la interrupción se vuelve inaceptable para la organización, y
d) las dependencias de los procesos con proveedores, clientes, socios y otras terceras partes.
En definitiva, el principal resultado que debemos obtener tras la elaboración del BIA es un listado de procesos de negocio priorizados según sus tiempos requeridos de recuperación, los impactos de su interrupción y con las dependencias relevantes de otros elementos internos o externos a la organización. Vamos hoy con los tiempos, punto c) de la lista anterior.
Entenderemos el tiempo requerido de recuperación como aquel a partir del cual la interrupción de la actividad tiene un impacto grave para la continuidad del negocio. Como veremos a continuación, la relación entre el impacto y el tiempo sigue en general un modelo donde existe una fase inicial lineal con un punto en el que el impacto se incrementa de manera brusca. Aunque uno puede tender a pensar que este punto debe corresponderse con el impacto máximo tolerable, en realidad no es así y el punto crítico puede situarse en la fase de correspondencia lineal. Veamos un par de ejemplos.
En primer lugar tenemos el ejemplo de un proceso de inyección de plásticos; en caso de parada de una línea de inyección (por un problema de suministro eléctrico, incidencia mecánica, etc.) se dispone de un tiempo limitado para volver al funcionamiento normal antes de que el plástico se endurezca; si la incidencia se resuelve antes de que las toberas se obstruyan, el impacto es lineal: una pérdida de producción dependiente del tiempo. Pero si el tiempo de la parada es suficiente para que el plástico se endurezca, esto obligaría a una parada total para proceder a la limpieza de las toberas antes de retomar la actividad con normalidad, que forzaría una parada mayor incluso después de haberse restablecido las condiciones normales de operación.
En el otro caso tendríamos un almacén de expedición; si en una hora salen 10 unidades, podemos asumir que el impacto tras X horas de parada es 10*X, y esa relación puede mantenerse lineal durante mucho tiempo (no obstante, llegará un momento en el que la parada del proceso comienza a afectar a otras áreas de la organización y la relación tiempo/impacto comenzará a variar).
Veamos ahora un par de gráficas. En la primera, el impacto límite es de 50.000 €. Como podemos ver, la actividad 3, con un ratio de empeoramiento muy superior al de las otras actividades, alcanza dicho punto aproximadamente a las 15 horas del incidente, mientras que las actividades 1 y 2 lo hacen a las 55 horas y 35 horas respectivamente.
Aparentemente, a la vista de la curva la actividad 3 se consideraría más crítica que las actividades 1 y 2, dado que alcanza el punto crítico mucho antes. No obstante, si asumimos ahora un impacto grave mucho menor, en torno a 7.000 €, la situación cambia como podemos observar en la siguiente gráfica. A pesar de que la curva de la actividad 3 tiene un ratio de empeoramiento superior al de la actividad 2, ésta, siguiendo un modelo mucho más lineal, alcanza el punto crítico una hora antes y de hecho durante las 8 primeras horas el impacto de la interrupción de la actividad 2 es superior al de la actividad 3.
Por tanto, la evolución de una actividad interrumpida vendrá determinada por dos características: una fase inicial en la que la relación se mantiene cercana a un modelo lineal, seguida de un modelo más similar a una curva exponencial que representa la aceleración del impacto, seguida por una fase final de estabilización. Este modelo corresponde a la curva logística y podemos reinterpretar las gráficas anteriores, es decir, cada tipo de evolución frente a contigencias, como resultado de una mera cuestión de escala.
A partir de esto, la criticidad de una actividad vendrá determinada por lo rápido que ésta alcance el impacto crítico con independencia del modelo que siga. No obstante, el modelo tiene gran importancia ya que determina tanto la respuesta que se debe prever ante una contingencia como el margen de error tolerable al establecer los tiempos de recuperación objetivo. Por ejemplo, tomemos la segunda gráfica vista anteriormente. Aunque el impacto crítico (7.000 €) se alcanza antes cuando la actividad 2 se detiene que cuando lo hace la actividad 3 y por tanto la actividad 2 debe considerarse más crítica que la actividad 3, un error o retraso en la aplicación de las medidas de resolución de la contingencia puede tener efectos muy diferentes en uno y otro caso. En el caso de la actividad 2, teóricamente más crítica, un retraso de 5 horas en la recuperación de la actividad tendría un impacto adicional de 6.000 €, mientras que si esto sucede en la actividad 3, el impacto sería de 25.000 €.
De la misma manera, si el impacto crítico ha sido sobreestimado y es en realidad de 11.000 €, la actividad 3, teóricamente menos crítica, alcanzará ese impacto sólo 1 hora después que en el caso inicial cuando el impacto era de 7.000 €, mientras que la actividad 2, en principio más crítica, lo alcanzará 3 horas después.
Es por tanto de vital importancia conocer no sólo el punto crítico, sino en qué medida evoluciona un proceso o actividad tras una contingencia.
Espero que les haya parecido interesante; siéntanse libres de preguntar, rectificar o comentar. En la siguiente entrada continuaremos hablando de los otros aspectos temporales a tener en cuenta en la elaboración del BIA.
(Gracias a Óscar Navarro por su ayuda con los ejemplos de entornos industriales y su colaboración en otros puntos de la entrada)
Un artículo explicado de manera didáctica, gracias
Hola como disculpe
se podrían considerar que TRO Y MTPOD o tiempo máximo tolerable interrumpida son iguales o ¿cual es la diferencia?
Hola juampi,
Aunque a menudo se utilizan de manera indistinta, son variables diferentes.
MTPOD es el tiempo máximo que un proceso o actividad crítica puede estar detenida antes de que dicha parada impacte irreversiblemente en la continuidad de la organización en su conjunto. Es por tanto una variable de la propia organización que es definida por los usuarios finales, conocedores de los procesos y que en general es reflejada al realizar el BIA.
Por su parte, el RTO es el tiempo objetivo de recuperación de la actividad, y es definido habitualmente por el personal técnico de acuerdo a las estrategias de continuidad establecidas y las capacidades de la organización. Dicho de otra forma, el MTPOD (o MTD, o MTPD) es el límites que la organización no puede superar y que es definido por aspectos externos (compromisos con clientes, impacto sobre la reputación, etc.) el RTO tiene mayor holgura, aunque debe siempre situarse por debajo del MTPOD.
Échale un vistazo a la segunda entrada de la serie, quizá te aclare algo: https://www.securityartwork.es/2012/06/22/continuidad-de-negocio-analisis-de-impacto-sobre-el-negocio-tiempos-ii/