QUIERES UN PLAN DE CONTINUIDAD DE NEGOCIO EFICIENTE?  PON ESPECIAL ATENCIÓN EN EL ANALISIS DE IMPACTO EN EL NEGOCIO.

Gains vs Losses

Gains vs Losses

Hace algunos años publiqué un artículo que versaba sobre la diferencia entre eficiencia y eficacia. He de reconocer que la idea del artículo me vino escuchando a José de la Peña (editor de la revista SIC) en otro ámbito diferente, pero también en el contexto de la Seguridad de la Información, en el que lamentablemente ha primado muchas veces la eficacia (o incluso las modas) frente a la eficiencia, lo que no ayudaba precisamente a alinear las TIC (Tecnologías de la Información y las Comunicaciones) con las necesidades del negocio.

Un ejemplo paradigmático de esta afirmación lo tenemos en el Análisis de Impacto del Negocio, uno de los primeros pasos de nuestro Plan de Continuidad de Negocio. Damos por supuesto que antes habremos definido las bases del proyecto (objetivos, alcance, equipos de coordinación, etc.) y habremos realizado un Análisis de Riesgos.

En ocasiones se tiende a confundir Análisis de Riesgos con Análisis de Impacto (BIA por sus siglas en inglés). Intentando resumirlo al máximo (eficiencia) diremos que el objetivo del Análisis de Riesgos es identificar aquellos riesgos a los que está sometido el negocio (sus activos más concretamente), para intentar prevenirlos, eliminarlos o mitigarlos en su caso, mediante el establecimiento de determinados controles. El Análisis de Riesgos es una disciplina más amplia que el Análisis de Impacto, y siempre supone que existe un umbral de riesgo que el negocio debe asumir (generalmente porque la adopción de medidas para eliminar o mitigar el riesgo son excesivamente costosas).

Por tanto, existe una cierta probabilidad de que esos riesgos (residuales en el argot) ocurran y de algún modo dañen a nuestro negocio. La medición de estas dos variables es el objetivo principal del Análisis de Impacto, esto es, cuantificar la probabilidad de ocurrencia de un determinado riesgo y el impacto en el negocio en caso de producirse. Suena complejo, y lo cierto es que no es sencillo de realizar, además de laborioso, pero se puede suponer que de los resultados de este análisis dependerá que nuestro Plan de Continuidad de Negocio sea eficaz (porque identifique los riesgos más críticos para nuestro caso particular) y eficiente (porque la implantación de las medidas que adoptemos a raíz del análisis deberá ser, evidentemente, menos costosa que el impacto en sí).

Por poner un ejemplo sencillo, retomando el post del otro día. Entendemos que nuestras oficinas, uno de los activos de nuestro negocio, pueden incendiarse, y limitándolo más, puede incendiarse por causas eléctricas. El Análisis de Riesgos ha identificado este riesgo y nos recomienda la instalación de automáticos y diferenciales para prevenir (control preventivo), cuando no eliminar el riesgo. El Análisis de Riesgos también nos recomendará, dado que los automatismos pueden fallar, la instalación de un sistema de detección y extinción de incendios (controles detectivo y correctivo respectivamente). No obstante las medidas adoptadas, los sistemas pueden fallar, o la intervención humana puede detener la extinción y que finalmente no se llegue a controlar el incendio, y aquí entra el Análisis de Impacto.

Como decíamos, el objetivo es calcular, de la manera más exacta posible, la posibilidad de que esta situación (riesgo residual) ocurra y el impacto negativo que tendría sobre nuestro negocio. Idealmente este cálculo debería ser cuantitativo, en porcentaje concreto o en euros para entendernos, pero a veces esto no es posible o es demasiado complicado, y recurriremos al cálculo cualitativo (por ejemplo en una escala de 5 rangos de muy bajo a muy alto).