Indicadores para medir el rendimiento de la gestión de la continuidad del negocio
Algunos indicadores pueden utilizarse para medir el rendimiento de la continuidad del negocio, asegurar los procesos del negocio y cumplir con los objetivos de la empresa.
Una de las actividades principales en la gestión de la continuidad del negocio es la medición del rendimiento del programa. Una buena gestión implica el análisis de los procesos del negocio en curso para asegurarse de que se están cumpliendo los objetivos de la empresa. En la mayoría de las actividades de gestión de la continuidad del negocio se realiza (o se debería realizar) una revisión de la gestión y un proceso de evaluación.
Este artículo trata sobre los indicadores en un modelo de dos niveles que se pueden utilizar para medir el rendimiento de la continuidad del negocio. Los indicadores de nivel 1 sirven de soporte al programa de CN; los de nivel 2 proporcionan unas mediciones con mayor detalle.
Indicadores de nivel 1 en los programas de continuidad de negocio
En una auditoria típica, se recogen los controles (indicadores) y se mide el rendimiento respecto a ellos. Dentro de la continuidad del negocio, podemos identificar diversos indicadores de alto nivel, que podemos llamar “nivel 1”.
Una manera sencilla de utilizar los indicadores de los niveles 1 y 2 es configurar una hoja de análisis de las deficiencias con los siguientes encabezados de columna:
Área de acción - Indicador - Situación actual - Situación deseada - Acción recomendada
Si se configura una hoja de análisis de las deficiencias, se pueden comparar fácilmente los indicadores con lo que realmente se está haciendo. De este modo se pueden identificar las acciones necesarias para lograr el cumplimiento de los objetivos.
Áreas de acción del nivel 1 - Ejemplos de indicadores
Inicio y gestión de proyectos
Proceso de gestión del programa en la propia empresa
Equipo cualificado que gestiona el programa
Políticas y procedimientos aprobados
Análisis y gestión del riesgo
Proceso de gestión del riesgo
Análisis periódicos del riesgo
Procesos de tratamiento del riesgo implantados
Análisis de impacto en el negocio
Identificación de las principales relaciones y dependencias con las organizaciones internas y externas
Identificación de las consecuencias financieras de un incidente destructivo
Identificación de los objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO) de las funciones críticas
Desarrollo de estrategias de continuidad
Lista de estrategias potenciales definidas
Proceso para proyectar a las estrategias los problemas de la recuperación basados en el impacto en el negocio
Proceso para determinar la eficacia de las estrategias
Respuesta y gestión de las emergencias
Plan de respuesta y gestión en caso de incidente
Vinculación del plan de mensajería instantánea al plan de continuidad de negocio
Formar a los miembros del equipo de mensajería instantánea para las actividades de respuesta
Desarrollo y aplicación de planes de continuidad del negocio y documentos relacionados
Proceso de desarrollo de un plan de continuidad del negocio en la empresa
Vinculación con los planes de mensajería instantánea, estrategias, análisis de impacto en el negocio, etc.
Procedimientos operativos definidos para el plan de continuidad del negocio
Programas de concienciación y formación
Programa de concienciación y formación en la empresa
Calendario de difusión del programa de información
Calendario de formación sobre la continuidad del negocio y otras acciones relacionadas
Mantenimiento y práctica de los planes de continuidad del negocio y otras actividades relacionadas
Programa de prácticas en la empresa con un calendario de ejercicios
Evaluación de los ejercicios y recomendaciones
Políticas de mantenimiento y calendario de actualizaciones
Relaciones públicas y comunicación de las crisis
Lista de detallada de todos los contactos críticos internos y externos
Políticas y procedimientos para las relaciones con los medios de comunicación
Procedimiento de alerta rápida para empleados, proveedores y otras partes interesadas
Coordinación con las autoridades públicas
Lista de contactos de los representantes principales de la policía, bomberos, servicios de rescate, hospitales y centro coordinador de emergencias
Calendario de reuniones con los voluntarios de protección civil y primeros auxilios
Revisión periódica de los planes de continuidad del negocio, recuperación ante desastres y de emergencias a cargo de los servicios de protección civil
Indicadores de nivel 2 en los programas de continuidad del negocio
En comparación con los indicadores de nivel 1, los indicadores de nivel 2 suelen presentar mayor detalle y concrección. Se pueden encontrar en planes de recuperación ante desastres centrados en la tecnología que se ocupan de la protección y recuperación de datos, de la prevención de las amenazas informáticas que puedan poner en peligro los sistemas y datos críticos, de la recuperación y reinicio de los servidores críticos, de la restauración de los servicios de infraestructura de red y del traslado del personal a centros de trabajo alternativos.
Áreas de acción del nivel 2 - Ejemplos de indicadores
Recuperación de datos
Copias de seguridad actuales en el plazo de una hora desde la última actualización
Tiempo de recuperación de archivos de datos críticos: una hora
Recogida diaria de las copias de seguridad en cinta antes de las 6:00 pm
Recuperación de servidores
Plazo para la restauración y reinicio de los servidores: una hora desde la interrupción del servicio
Plazo para sustituir físicamente los servidores en los bastidores designados: 30 minutos
Número máximo de errores durante el reinicio inferior a dos
Recuperación de la red de datos
Plazo para recuperar, restaurar y reconfigurar los routers: una hora desde la interrupción del servicio
Tiempo necesario para probar y validar el rendimiento de la red antes de empezar a transmitir datos en tiempo real: una hora desde la interrupción del servicio
Tiempo máximo necesario para sustituir físicamente los dispositivos de red dañados: cuatro horas
Recuperación del equipo de voz
Tiempo necesario para reiniciar el sistema de voz: una hora desde la interrupción del servicio
Plazo máximo para la llegada de los servicios de la empresa a las instalaciones: cuatro horas desde la llamada al servicio de asistencia
Tiempo necesario para sincronizar los circuitos DS-1/PRI con el conmutador: cuatro horas
Activación de sitios de respaldo calientes
Tiempo necesario para confirmar la aprobación desde el sitio de respaldo caliente para la recuperación de espacio: una hora desde que se inicia el contacto
Tiempo necesario para reiniciar los sistemas críticos en el sitio de respaldo caliente: una hora desde la interrupción del servicio
Tiempo necesario para reubicar al personal en el sitio de respaldo caliente: cuatro horas desde que se comunicó la interrupción
El uso de indicadores para medir el rendimiento de la continuidad del negocio proporciona pruebas tangibles y verificables de que su programa se ajusta a las expectativas. Los ejemplos que hemos proporcionado en este artículo pueden servirle como punto de partida. El nivel de detalle depende de su empresa, de la forma en que se dirige el negocio y del modo en que se mide el rendimiento.
Sobre el autor: Paul Kirvan FBCI, CBCP, CISSP, tiene más de 20 años de experiencia en la gestión de la continuidad de negocio como consultor, escritor y educador. También es secretario del Instituto para la Continuidad de Negocio (Business Continuity Institute), Sección de EE.UU.
