Artículos de Interés Aseguradoras
Artículos de Interés
Eventos Importantes
Calendario
Leyes y Reglamentos
Tips
Capacitación
Glosario
Aseguradoras
Aseguradoras de Crédito
Afianzadoras
Asociaciones y Autoridades
Institutos de Capacitación
Reaseguradoras
Corredores y Agentes
Ajustadores
Intermediarios de Reaseguro
Servicios de Salud
Ingeniería de Riesgos
Servicios Jurídicos

Una manera interesante
de calcular “RTOs”
Por Yves Dávila, CBCP, DRII Instructor, Presidente YDContinuity, MD Intellity Consulting

_________________________________________________________________________________________

El Análisis de Impacto al Negocio (BIA por sus siglas en inglés) es una de las fases metodológicas en la implementación de la continuidad del negocio.  Su importancia no radica solamente en la identificación de los procesos críticos, cosa que muy a menudo lo desmerece puesto que muchos argumentan ¿quién no conoce los procesos críticos de su empresa? ¿Para eso necesito hacer un BIA? Su importancia también radica en la identificación de las ventanas de tiempo de recuperación (RTO por sus siglas en inglés) que además de establecer la prioridad de recuperación, también provee valiosísima información para el diseño de las estrategias de recuperación.

Como experiencia personal y después de haber realizado varios “BIAs”, la inquietud más importante que me queda dando vueltas en la cabeza es si hacemos bien en pensar que el BIA es sinónimo de efectuar cuestionarios o entrevistas; o si en verdad resulta mucho mejor (y exitoso) cuando se enfoca primero a entender y modelar correctamente el negocio.   El pensar que el BIA es solamente un cuestionario que tiene que enviarse a varios “destinatarios” que responderán según su criterio, analizar la información recabada y emitir los reportes correspondientes, considero que sería una manera “simplista” de tratar el asunto.

Por ello, antes de pensar en preguntar por RTOs, Impactos, u otros elementos del BIA, primero modelemos de manera precisa cómo los calcularemos, veamos 2 ejemplos de modelamiento:

Calculando “RTOs” en procesos de negocio

Imaginemos una empresa cualquiera con 4 procesos y veamos cómo calcular el RTO de manera correcta:

En el gráfico, Tesorería no depende de otro proceso, Inversiones depende de Tesorería y Legal, y Pagos depende de Tesorería.  La pregunta entonces es ¿cuál es el RTO correcto para los 4 procesos?

Analicemos la respuesta para el caso de Tesorería (Proceso 1):

  • Como Inversiones depende de Tesorería entonces el RTOTesorería debe ser menor al RTOInversionesTesorería debe recuperarse antes que Inversiones!)
  • Como Pagos también depende de Tesorería entonces el RTOTesorería debe ser menor al RTOPagos
  • Considerando que Tesorería tiene su propio RTO inherente a si misma, entonces el RTOProceso1  es el mínimo entre RTOTesorería, RTOInversiones y RTOPagos

Para el caso del Inversiones (Proceso 2):

  • Como no existen procesos que dependan entonces el RTOProceso2 es RTOInversiones

El caso de Pagos (Proceso 3):

  • Como no existen procesos que dependan entonces el RTOProceso3 es RTOPagos

El caso de Legal (Proceso 4):

  1. Como Inversiones depende de Legal entonces el RTOProceos4 es el mínimo entre RTOLegal y el RTOInversiones

Calculando “RTOs” en Servicios de TI

Veamos ahora el mismo ejemplo, pero ahora de manera genérica. Si efectuamos el mismo análisis, pero ahora considerando los Servicios de TI que soportan los procesos de Negocio, tendremos el siguiente esquema:

Ya antes habíamos calculado el “RTO correcto” de cada uno de los procesos de negocio; ahora bien, pensemos en cómo calcular el “RTO correcto” para cada Servicio de TI.
Para ello aplicaremos el concepto de herencia, es decir que los Servicios de TI heredarán los RTOs de los procesos de negocio que soportan (¡Los Servicios de TI responde a los requerimientos de los procesos de negocio!).

Analizando los servicios mostrados en el gráfico anterior podemos concluir:

  • El Servicio de TI 1 soporta únicamente al Proceso 1, por ende, el RTOSTI1 es igual al RTOProceso1 (el Servicio de TI 1 tiene que recuperase antes o igual que el tiempo que el Proceso 1 necesita recuperarse)
  • El Servicio de TI 2 soporta únicamente al Proceso 1, por ende, el RTOSTI2 es igual al RTOProceso1
  • El Servicio de TI 3 soporta a los Procesos 2 y 3, por ende, el RTOSTI2 es el mínimo entre RTOProceso2 y RTOProceso3 (el Servicio de TI 3 tiene que recuperase antes de cualquiera de los Procesos 2 y 3)

Aplicando la misma lógica utilizada en el caso de dependencias, veamos como se calcularían los RTOs correctos.

Analicemos la respuesta para el caso del Servicio de TI 1:

  • El Servicio de TI 3 necesita del Servicio de TI 1, por lo tanto el RTOSTI1 correcto es el mínimo entre RTOSTI1 y RTOSTI3

Analicemos el caso del Servicio de TI 2:

  • El Servicio de TI 2 no es requerido por ningún otro servicio, por lo tanto el RTOSTI2 correcto es igual al RTOSTI2

Analicemos el caso del Servicio de TI 3:

  • El Servicio de TI 3 no es requerido por ningún otro servicio, por lo tanto el RTOSTI3 correcto es igual al RTOSTI3

Analicemos el caso del Servicio de TI 4:

  • El Servicio de TI 4 (típico comportamiento de un servicio básico como Autenticación que no es usado directamente por ningún proceso, sino que otros Servicios de TI son los que lo usan) es requerido por los Servicios de TI 2 y 3, por lo tanto el RTOSTI4 correcto debe ser el menor de RTOSTI2 y RTOSTI3

Este es un interesante ejercicio que se concentra primero en modelar el negocio en vez de empezar con cuestionarios, claro que no se descarta el uso de los mismos, sino que utilizará los cuestionarios para obtener la información necesaria para el modelo, como por ejemplo: Procesos y sus dependencias, Servicios de TI asociados a cada proceso, dependencias entre Servicios de TI, y otra mucha información que podemos seguir creando de acuerdo con la profundidad que se desee realizar el BIA.

Para finalizar, pensemos que este cálculo se podría efectuar de similar forma para el caso de Servidores o Switches relacionados con cada Servicio de TI, o con Servicios de Apoyo (o Soporte) relacionados con Procesos de Negocio; así como también con otras variables como Impacto Operacional y Financiero, aunque con algunas diferencias al momento de su “extrapolación.

Si tiene comentarios y sugerencias al presente artículo, le agradecemos escribir a yves.davila@ydcontinuity.com o yves.davila@intellityconsulting.com

_________________________________________________________________________________________

Contacto

Yves Dávila, CBCP
Director General YD Continuity
Tel: + 511 349 4329
Email: yves.davila@ydcontinuity.com

Conocer más de Yd Continuity