Luego de cantidades de artículos, libros y conferencias controversiales sobre la inutilidad de realizar un BIA, muchos se preguntan qué hacer si no tienen más esa herramienta, especialmente si su organización es regulada.
Al día de hoy la mayoría de las regulaciones están orientadas a asegurar la capacidad de recuperación de los servicios más críticos de las organizaciones.
Aunque pocas indiquen precisamente en sus textos la ejecución de un BIA, es muy común durante las auditorías que soliciten su BIA para cumplir con el requerimiento.
También una casa matriz que sea regulada o no podría exigir a sus filiales en otro país un BIA.
La realidad es que el BIA es parte de nuestro ADN y eliminar el BIA es un cambio mayor, hasta psicológicamente traumatizante para algunos profesionales: luego de tantos años predicando, ejecutando (a veces vendiendo – como yo) y defendiendo el BIA, ¿cómo podría ahora cambiar radicalmente mi parecer?
Esa situación y esa reacción son totalmente entendibles. El ser humano tiene una tendencia natural a rechazar el cambio y quedarse en su zona de confort, especialmente si tiene años en ella.
Pero las organizaciones evolucionan, el mundo cambia y nosotros como profesionales tenemos la posibilidad y el deber de adaptarnos. No se trata aquí de una teoría Darwinista sobre nuestra supervivencia, sin embargo, la Continuidad del Negocio ha tenido una muy lenta evolución durante los 20 últimos años mientras otras disciplinas profesionales han cambiado radicalmente. Por esa razón, está siendo criticada en las organizaciones debido a su ineficiencia, lentitud, falta de realismo, complejidad, etc. Pero hoy tenemos la posibilidad de mejorar radicalmente los efectos y la percepción de la Continuidad del Negocio en las organizaciones.
Volvamos al BIA.
Nuestro Programa o Sistema de Gestión de la Continuidad del Negocio no gira alrededor del BIA. Más bien la eficiencia de nuestro Programa y el reconocimiento de nuestro trabajo tienen que ver exclusivamente con la eficaz recuperación de las operaciones luego de un evento o la buena gestión de una crisis, por ejemplo.
Si lo pensamos bien, los entregables más importantes de nuestro trabajo son las implementaciones de las estrategias de continuidad, el entrenamiento del personal a través de ejercicios y capacitaciones, y también la creación de una cultura de Continuidad. ¿Por qué? Porque gracias a esas tareas lograremos alcanzar nuestra meta principal que es la continuidad o recuperación de nuestro negocio.
Respecto al BIA, en general, se esperan las informaciones siguientes:
El listado de los servicios y productos más urgentes con sus impactos
Los MTPDs por servicios
Áreas y procesos más críticos y dependencias
Los sistemas más críticos
El personal mínimo requerido y las instalaciones
¿Mientras debemos hacerlo, cómo podemos realizar este análisis de forma eficiente?
Listado de productos y servicios más urgentes
Este listado se puede obtener con solo una o dos reuniones o talleres con la Alta Gerencia donde el objetivo es identificar los productos y servicios más urgentes de la organización. Les aconsejo definir 3 categorías: Vital, Crítico y No crítico. Los ejecutivos nunca se equivocan sobre los productos y servicios Vitales. Las dudas surgen en unos casos sobre las demás categorías. La buena noticia es que de alguna manera, solo la 1ra categoría nos interesa, y a los auditores también. Es muy común durante la conversación que los ejecutivos indiquen porque un producto es vital o no. Así que podemos usar la justificación para determinar el impacto.
MTPD
La noción de tiempo es muy relativa en el BIA. Muchas veces, la primera respuesta de un usuario a la pregunta sobre el tiempo máximo de indisponibilidad tolerable es “depende”. Y aunque tenga menos sentido hablar de RTO “deseado” a esta altura del análisis, la norma nos pide esa información. Así que para responder a ese requerimiento, podemos crear una clasificación automática e indicar que los productos y servicios de la categoría Vital requieran un MTPD inferior a 2h. Para la categoría Críticos será entre 2h y 24h, y los servicios no críticos serán más de 24h. Esos rangos no se basan sobre una norma sino una experiencia que pienso que muchos compartirán. Se pueden adaptar según la cultura y la naturaleza de su industria.
Áreas y/o Procesos
Todas las organizaciones tienen que producir y/o dar el servicio, necesitan soporte para hacerlo y tienen que cumplir con unos aspectos financieros y/o legales. Las áreas que participan a esas actividades son fácil a identificar y son siempre críticas porque responden tanto a las exigencias del negocio como a las exigencias de las demás partes interesadas (Empleados, autoridades, suplidores, etc.).
En general se clasifican de la manera siguiente:
Operaciones (Ventas, Operaciones, Servicios, Producción)
Soporte (RRHH, TI, Seguridad, Riesgo, Continuidad, Compras, Logística, Mantenimiento, RRPP)
Finanzas/Regulación (Finanzas, Contabilidad, Legal, Cumplimiento, Auditoria)
Se puede proponer una clasificación a los ejecutivos para que validen el nivel de criticidad, igual que los productos y servicios.
Adicional a eso, si tienen las cadenas de valor o si se realizó un análisis SIPOC (Six Sigma), podrán identificar fácilmente en una matriz los procesos, las áreas, el personal, las dependencias y los sistemas relacionados a los productos y servicios más urgentes. Es realmente un mundo ideal y animamos todos los profesionales de Continuidad del Negocio a usar esas herramientas cuando están disponibles en su organización.
Sistemas
Con las cadenas de valor y/o su SIPOC, esa información puede ser identificada de forma rápida y automática.
Además, durante muchos años, nos convencimos que las áreas de Negocio o los usuarios podían decirnos de forma segura y precisa cuáles de los sistemas eran los más críticos. Al día de hoy, no es tan cierto. Por ejemplo, los usuarios no conocen siempre los nombres reales de los sistemas. No conocen tampoco las interdependencias entres los sistemas.
Si quieren conocer de forma precisa y con certeza cuales son esos sistemas, les sugiero identificar esos sistemas con el área de Tecnología. Por su conocimiento único de los ambientes e interacciones entre sistemas, por su experiencia en gestionar las quejas de los usuarios cuando un sistema se cae y las diferentes crisis pasadas, sabrán precisamente cuáles sistemas son los más críticos, cuáles soportan los servicios más urgentes, etc. Uno o dos talleres con el área de Tecnología serán muy suficientes para definir ese listado.
Personal mínimo e Instalaciones
Preguntar el personal mínimo al encargado de un área nos puede llevar a una discusión conflictiva porque los entrevistados se confunden y temen indicar una respuesta que se podría malinterpretar por RRHH. Acuérdense que “depende” o “no tengo suficiente personal” serán las respuestas común a ese tipo de pregunta. La realidad es que en general, y basándome sobre años de práctica, las áreas necesitan entre 20% y 50% de su personal para asegurar un servicio mínimo. Eso se puede aplicar de forma automática a todas las áreas.
Luego pueden seleccionar las instalaciones donde se ubican esas áreas y también los sitios de producción/operaciones/almacenamiento.
Aquí les presento una metodología simplificada, la cual, con 3 o 4 reuniones y unos días de análisis, les permitirá tener la información para orientar el enfoque de su Programa y para responder al requerimiento de un BIA de forma precisa, eficiente y fácil a actualizar.
Debemos siempre recordarnos que cualquier sea nuestra industria, nuestro objetivo principal es asegurar la continuidad o recuperación de nuestras operaciones.
Adicional, como profesional de la Continuidad del Negocio, no podemos conformarnos con la herencia del pasado o las incoherencias de las “reglas” o supuestas “buenas prácticas” que cantidades de organizaciones, proveedores de software y consultores promueven cada año.
Levantar la información para entender el negocio y ejecutar su proyecto de Continuidad es indispensable. Sin embargo, tenemos muchos años observando que el BIA no funciona, y ya no es más una buena práctica. Es el momento de cambiar los paradigmas y enfocarnos sobre lo que cuenta: las estrategias, los planes, los ejercicios y la cultura.
Con las nuevas metodologías de Continuidad del Negocio lograremos ahorrar tiempo, energía y dinero. Podremos orientar el esfuerzo general de la organización hacia la recuperación del negocio de forma eficiente y lograremos obtener más reconocimiento de la Alta Gerencia sobre nuestra profesión.
¿Están listos para integrarse a la nueva generación de profesionales de la Continuidad del Negocio?