Upload
eduardoandreslobos
View
65
Download
5
Embed Size (px)
DESCRIPTION
Consideraciones Para Calcular Los RTO
Citation preview
Página 1 de 3
Consideraciones clave para el cálculo de los RTO
Ing. MBA Guillermo Martín Palacios Rubio Consultor en Gobierno de TI, Aplus2
ISACA ID: 674212
Resumen: Uno de los puntos más relevantes para elaborar un buen análisis de impacto del negocio (BIA, por sus siglas en inglés) consiste en determinar adecuadamente los tiempos objetivos de recuperación (RTO) de los procesos críticos encontrados durante el análisis de impacto financiero y el impacto operacional. El tiempo objetivo de recuperación de un proceso crítico depende de los tiempos objetivos de recuperación de los procesos, servicios y recursos críticos necesarios para que el proceso pueda retornar a niveles aceptables de normalización. En el presente artículo se describe de una manera clara y resumida un procedimiento para determinar los RTO de los procesos críticos a través del desarrollo de dos casos específicos. Palabras Clave: RTO, MTD, BIA INTRODUCCIÓN El Análisis de Impacto al Negocio (BIA por sus siglas en inglés) es una de las fases metodológicas en la implementación de un sistema de gestión de continuidad del negocio. Su importancia no radica solamente en la identificación de los procesos críticos, que muy a menudo lo desmerece puesto que muchos argumentan ¿quién no conoce los procesos críticos de su empresa? ¿Para eso necesito hacer un BIA? Su importancia también radica en la identificación de las ventanas de tiempo de recuperación (RTO por sus siglas en inglés) que además de establecer la prioridad de recuperación, también provee valiosa información para el diseño de las estrategias de recuperación. Como experiencia personal la inquietud más importante es si hacemos bien en pensar que el BIA es sinónimo de efectuar cuestionarios o entrevistas; o si en verdad resulta mucho mejor (y exitoso) cuando se enfoca primero a entender y modelar correctamente el negocio. El pensar que el BIA es solamente un cuestionario que tiene que enviarse a
varios “destinatarios” que responderán según su criterio, analizar la información recabada y emitir los reportes correspondientes, considero que es una manera “simplista” de tratar el asunto. Por ello, antes de pensar en preguntar por RTOs, impactos, u otros elementos del BIA, primero modelemos de manera precisa cómo los calcularemos. Antes de pasar a analizar los ejemplos prácticos debemos tener en cuenta que existen dos tipos de RTO para un proceso determinado: i. El RTO inherente al proceso que se
determina a partir del tiempo de recuperación necesario para tener disponibles los recursos críticos del proceso.
ii. El RTO asociado a los procesos o servicios de los cuales depende.
El mayor de ambos constituye el RTO materia de nuestro análisis. En nuestros ejemplos nos centraremos en la determinación del RTO asociado a los procesos o servicios necesarios para una reanudación a los niveles aceptables.
Página 2 de 3
1. Calculando los “RTO” en procesos de negocio Durante la fase de entendimiento de la organización el primer paso es identificar el mapa de procesos de la organización, las funciones del negocio que desempeñan estos procesos y sus responsables directos (dueños de los procesos). Con el inventario de procesos como material, se deben mantener reuniones con los dueños de los procesos para identificar la inter-dependencia de los procesos. Con la interdependencia de los procesos analizamos los RTO en función de los RTO de los procesos de los cuales depende nuestro proceso de negocio. En el gráfico N° 01, Tesorería no depende de otro proceso, Inversiones depende de Tesorería y Legal, y Pagos depende de Tesorería.
Gráfico N° 01: Inter relación de procesos
La pregunta entonces es: ¿Cuál es el RTO correcto para los 4 procesos?
Analicemos la respuesta: Para Tesorería (Proceso 1):
• Como Inversiones depende de Tesorería entonces el RTOTesorería
debe ser menor al RTOInversiones.
Tesorería debe recuperarse antes que Inversiones.
• Como Pagos también depende de Tesorería entonces el RTOTesorería
debe ser menor al RTOPagos
• Considerando que Tesorería tiene su propio RTO inherente a si misma, entonces el
RTOProceso1 es el mínimo entre RTOTesorería, RTOInversiones y RTOPagos.
Para Inversiones (Proceso2): • Como no existen procesos que
dependan de él, entonces el RTOProceso2 es RTOInversiones
El caso de Pagos (Proceso 3): • Como no existen procesos que
dependan entonces el RTOProceso3 es RTOPagos
El caso de Legal (Proceso 4): • Como Inversiones depende de Legal
entonces el RTOProceos4 es el mínimo entre RTOLegal y el RTOInversiones
2. Calculando los “RTO” en Servicios de TI Si efectuamos el mismo análisis, pero ahora considerando los Servicios de TI que soportan los procesos de Negocio, tendremos el siguiente esquema:
Gráfico N° 02: RTO para los servicios
de TI
Ya antes habíamos calculado el “RTO correcto” de cada uno de los procesos
Página 3 de 3
de negocio; ahora bien, pensemos en cómo calcular el “RTO correcto” para cada Servicio de TI. Para ello aplicaremos el concepto de herencia, es decir que los Servicios de TI heredarán los RTOs de los procesos de negocio que soportan. Los Servicios de TI responden a los requerimientos de los procesos de negocio. Analizando los servicios mostrados en el gráfico anterior podemos concluir:
• El Servicio de TI 1 soporta únicamente al Proceso 1, por ende, el RTOSTI1 es igual al RTOProceso1 (el Servicio de TI 1 tiene que recuperase antes o igual que el tiempo que el Proceso 1 necesita recuperarse).
• El Servicio de TI 2 soporta únicamente al Proceso 1, por ende, el RTOSTI2 es igual al RTOProceso1.
• El Servicio de TI 3 soporta a los Procesos 2 y 3, por ende, el RTOSTI2 es el mínimo entre RTOProceso2 y RTOProceso3 (el Servicio de TI 3 tiene que recuperase antes que cualquiera de los Procesos 2 y 3).
CONCLUSIONES Este es un interesante ejercicio que se concentra primero en modelar el negocio en vez de empezar con cuestionarios, claro que no se descarta el uso de los mismos, sino que utilizará los cuestionarios para obtener la información necesaria para el modelo, como por ejemplo: Procesos y sus dependencias, Servicios de TI asociados a cada proceso, dependencias entre Servicios de TI, y otra mucha información que podemos seguir creando de acuerdo con la profundidad que se desee realizar el BIA. Para finalizar, pensemos que este cálculo se podría efectuar de similar forma para el caso de recursos críticos relacionados con cada Servicio de TI, o con Servicios de Apoyo (o soporte) relacionados con
Procesos de Negocio; aunque con algunas diferencias al momento de su “extrapolación”. BIBLIOGRAFÍA Barnes, James. A Guide to Business Continuity Planning.John Wiley & Sons Ltd. New York, 2001. Hiles, Andrew. Business Continuity. The Definitive Handbook of Business Continuity Management. John Wiley & Sons, Ltd. New York, 2001.