Ingeniería Civil Industrial, Tecnología& Sistemas Universidad de La Serena, Chile
Business Continuity Management (BCM) & Business Impact Analysis (BIA) Florencia Novella Saavedra 1*, Luis Cortez Ulloa1 , Scarlet Adaros Adaros Adaros1 , Sergio Antiquera Salinas Salinas1 , (1) Estudiantes, Ingeniería Civil Industrial, Universidad de La Serena, Chile Información Artículo Publicación Junio de 2014 Palabras Clave BCM BIA RTO KM RM Autor de Correspondencia * Benavente N° 980 La Serena, Chile 1720170
[email protected] [email protected] [email protected] [email protected] +560512204262
1.
Resumen Con frecuencia ocurren hechos imprevistos tales como catástrofes naturales, incendios, huelgas, ataques terroristas, etc., lo que obliga a las empresas a interrumpir sus actividades y por ende sus utilidades disminuyen. Sin embargo, cuando la organización se encuentra preparada y capacitada para actuar de manera rápida y eficaz frente a estos incidentes lo más probable es que signifique una ventaja competitiva para la empresa. BCM (Sistema de gestión de la continuidad del negocio) permite controlar los riesgos del negocio y saber que tan preparado se está ante situaciones imprevistas. El plan de continuidad de negocio abarca todos los sectores de negocio, dado con más énfasis en aquellos donde la disponibilidad de la información es su mayor activo. No hay importancia del tamaño de la empresa o institución, un plan de continuidad puede ser aplicado tanto a empresas grandes, medianas, pequeñas e incluso micro empresas. BCM se inicia con un análisis de impacto al negocio (BIA) el cual identifica y cuantifica el impacto que provoca en la infraestructura y procesos que son el soporte de las operaciones del negocio. En otras palabras, el análisis de impacto al negocio (BIA) es una de las fases metodológicas en la implementación implementac ión de u n sistema de gestión de continuidad del negocio (BCM).
Introducción
En un contexto de crecientes amenazas, Business Continuity Management (BCM) ha surgido en muchas industrias como un proceso sistemático para contrarrestar los efectos de la crisis y las interrupciones, aunque su potencial para desempeñar un papel más estratégico es todavía en gran parte inexplorada. (Herbane, Elliott & Swartz, 2004) BCM (Business Continuity Management) es un método de pensamiento que se originó en Europa y Estados Unidos. Luego ganó la atención mundial debido a los ataques del 11 de septiembre de 2001. Los acontecimientos inesperados que se tienen en consideración en un BCM incluyen terremotos y ataques terroristas, Además permitiéndolos ser afrontados rápida y adecuadamente, y garantizan la continuidad del negocio. (Kawamura & Nakatani, 2010) Gestión de la Continuidad del Negocio (BCM) tiene como objetivo identificar los procesos críticos del negocio, recursos y servicios de TI e identificar las amenazas potenciales para los servicios de TI, sistemas, operaciones y procesos del negocio, y evaluar y valorar los daños o pérdidas que puedan ser potencialmente causadas por las amenazas. Expertos de Continuidad de Negocio (BCXs) se refieren a esta actividad como
Business Impact Analysis (BIA). (Winkler, Gilani, Guitman & Marshall, 2012) Business Impact Analysis (BIA) es un proceso importante que explora en los procesos empresariales para determinar y listar los procesos críticos que son vitales para mantener el negocio en marcha. Es necesario comprender los entornos empresariales, recopilar los datos y la información, identificar los procesos críticos necesarios para llevar a cabo operaciones de negocios vitales y finalmente elaborar un informe BIA para que sus hallazgos fueran presentados a la alta dirección. (Sikdar, 2011)
2.
Business Continuity Management (BCM)
Se refiere a un proceso de gestión integral "Que identifica posibles amenazas a una organización y los impactos a operaciones comerciales que esas amenazas, podrían causar, causar, y que proporciona un marco para la construcción de de la organización organización resiliencia con la capacidad para dar una respuesta eficaz que salvaguarde de los intereses de sus grupos de interés clave, la reputación, de marca, marca, y las actividades actividades de creación de valor” (Fig.1) (Fig.1).. (Xiaomi & Wang, 2010) Business Continuity Manager debe tener en cuenta que una interrupción de los procesos de negocio puede tener un impacto financiero, consecuencias jurídicas o
Novella et al./ Business Continuity Management (BCM) & Business Impact Analysis (BIA)(2014)
puede tener efectos sobre otros valores de negocio e indicadores, tales como la reputación o la satisfacción del cliente. Business Continuity Manager utiliza dos análisis diferentes, pero complementarios, la Dependencia y Análisis de Riesgos (DA) y el Análisis de Impacto al Negocio (BIA). BIA tiene como objetivo distinguir entre los procesos de misión crítica y procesos de negocio que no son críticos y sus funciones. (Winkler, Fritzsche, Gilani & Marshall, 2010)
2.1. Objetivo de BCM Tomando como objetivo, la continuidad del negocio busca maximizar la estabilidad de la empresa contra esas amenazas. Por lo tanto, la gestión de la continuidad del negocio es sobre la toma de conciencia acerca de la mayor cantidad de amenazas posibles y preparar con esfuerzos comercialmente razonables - el negocio y así manejarlo lo mejor posible. (Draheim & Pirinen, 2011)
2.2. Desarrollo de BCM En primer lugar, las personas encargadas de mantener la continuidad del negocio deben crear y mantener la documentación BCM para el proceso de gestión integral. En segundo lugar, para trabajar de una manera consistente y reconocida, es necesaria una gobernanza eficaz basada en la evidencia para la reducción, preparación, respuesta y recuperación en colaboración con las áreas interesadas en proceso, por ejemplo basada en la evidencia, la gestión del riesgo, seguridad, calidad, salud y seguridad. En cuanto a la records management RM (gestión de registro), la autenticidad, fiabilidad, integridad y facilidad de uso de los registros son elementos vitales para garantizar la calidad de los registros como los recursos de negocios y activos de conocimiento. En términos de knowledge management KM (gestión del conocimiento), mapas de clasificación, eliminación de acceso y de los activos de conocimiento, son elementos vitales para la acumulación, el intercambio, la comunicación y la innovación del conocimiento, la interacción de un conjunto complejo de relaciones entre BCM, RM y KM para la ventaja competitiva sostenible. (Xiaomi & Wang, 2010) “
”
integral, las personas encargadas de mantener la continuidad del negocio deben crear y mantener la documentación BCM. Para trabajar de una manera consistente y reconocida, es necesaria la intervención del gobierno y el conocimiento eficiente, basado en la evidencia para reducción, preparación, respuesta y recuperación en términos de emergencia pública. (Xiaomi, Lemen & Liuqi, 2010) Los elementos claves de una BCM son la noción de un desastre, de un riesgo de negocio, de un proceso de negocio crítico, de un plan de recuperación de desastres, de un plan de continuidad del negocio y del período máximo tolerable de interrupción (DPMT) (Brandt, Hermann & Engel, 2009)
3.
Business Impact Analysis (BIA)
El BIA ofrece un análisis preliminar de algunas de las idiosincrasias de los recursos, los sistemas y las operaciones de cada organización. Durante el proceso de BIA, que ayuda a la organización a evaluar el riesgo de fallas en los procesos de negocio, identifica las funciones críticas y necesarias del negocio y de sus servicios de TI y las dependencias de los recursos. Esto determinará las prioridades que a su vez influyen en muchos de los compromisos financieros y operativos a las disposiciones de continuidad del negocio. El proceso de BIA permite TI, Servicios de información para tener un recoverytime objetive (RTO) (tiempo de recuperación objetivo) determinado para las aplicaciones que soporta las unidades del negocio críticos. El RTO es la cantidad de tiempo permitido para la recuperación de una función de negocios. Si se excede el RTO entonces daría como resultado daños graves en la organización. (Wan & Chan, 2008)
“
”
BCM proporciona un marco de ciclo de vida (Fig. 2) de la gestión de la continuidad del negocio de la organización, que abarca: la comprensión de la organización, la determinación de la estrategia BCM, desarrollo e implementación de la respuesta BCM, hacer ejercicio, mantener y revisar los procesos . El marco tiene dos implicaciones para mantenimiento de registros y el conocimiento de intervención: proceso de gestión
3.1. Objetivos de BIA Los principales objetivos de la BIA son la recopilación y análisis de la información a fin de presentar un informe tabular para la gestión, como la justificación de necesaria “buy-in” para el programa de BCP como también los recursos necesarios para su implementación. Hay tres fases principales (Fig. 3) para la realización de BIA: recopilación de datos, análisis de datos y presentación de informes BIA. (Sikdar, 2011) Business Impact Analysis (BIA) identifica acciones críticas y determina el impacto de su fracaso, es decir, los costos son directos e indirectos. Además, tiene que ser entendido que los incidentes pueden ceder a la interrupción de las acciones críticas. Una especie de provocación incidente generalizado a cabo, y entonces
Ingeniería Civil Industrial, Tecnología &Sistemas, Universidad de La Serena, Chile
Novella et al./ Business Continuity Management (BCM) & Business Impact Analysis (BIA)(2014)
la probabilidad de cada una de incidente que se produzca debe ser estimada. (Draheim & Pirinen, 2011)
3.2. Desarrollo de BIA Un análisis de impacto del negocio (BIA) identificará los impactos de las interrupciones del negocio y las técnicas que se pueden utilizar para cuantificar y calificar tales impactos. BIA también puede ayudar a las empresas a identificar las funciones críticas en el tiempo, así como las prioridades de recuperación y las interdependencias para que los objetivos del tiempo de recuperación puedan ser establecidos y aprobados. (Gang & Ke-jin, 2009) Las soluciones de continuidad de negocios aseguran que siempre hay una provisión adecuada para la continuidad de las actividades críticas con independencia del tipo y magnitud del evento detrás de la pérdida de recursos. El BIA describe: La importancia de las actividades del negocio de la empresa en el cumplimiento de su plan estratégico Los plazos en los que la actividad debe ser recuperado antes de que la empresa sufre daños críticos Los recursos de los que depende la actividad El porcentaje de pérdida de recursos se considera tolerable Y ¿Cómo va a hacer la organización para reanudar con el paso del tiempo? de la dotación de personal mínima del equipo de emergencia para el restablecimiento completo de todos los servicios. (Wilkinsona & Glocklingb, 2013)
La consolidación de los servicios existentes (por ejemplo, A & E) en un único sitio.
Las cuestiones importantes identificadas en ejercicios o revisiones posteriores a los incidentes y los cambios en el BIA deberán tomarse en consideración en una revisión de la gestión de alto nivel anual de todo el marco BCM. (Roberts & Molyneux, 2010)
4.
BCM & BIA Hoy en Día
Cuando los terremotos ocurren en líneas de vida (electricidad, gas, etc.) y la infraestructura social se interrumpe, las empresas privadas tienen que dejar de hacer negocios y prestaciones de servicios. En consecuencia, esto es perjudicial para ellos, debido a una pérdida de beneficios y oportunidades, y el despido de empleados. (Cañamera & Nakatani, 2010) Un estudio empírico de Knight y Pretty muestra que las empresas con un BCMS tienen más probabilidades de sobrevivir a un desastre que los que han tomado ninguna precaución (Fig. 4). Sin embargo, el estudio también muestra que, a pesar del uso de un BCMS, no se garantiza posibilidades de supervivencia de una empresa, y un pequeño número de estas empresas ha sido reportado como no poder sobrevivir a esto. (Bohemo, 2009)
La relación entre las actividades críticas y la cadena de valor se determina por el Análisis de Impacto al Negocio (BIA). Dentro de la BIA, se analizan los recursos críticos dependientes (stakeholders clave, productos clave, servicios claves) y su importancia para las actividades críticas (procesos fundamentales de la cadena de valor). Cualquier SGCN incluye aquellos procesos de negocio que son vitales. Un ámbito reducido de los sistemas de TI no se encontrará con un BCMS, como claramente se señala en un informe de IBM. (Boehmer, 2009) El BIA y la evaluación de riesgos deben ser revisados periódicamente, en particular después de cualquier cambio importante, por ejemplo: Desmantelamiento / enajenación de activos 'sobrantes' (edificios, equipos, etc.) Ofrecer servicios nuevos o modificados
5.
Conclusiones
Los desastres naturales continúan acelerándose en todo el mundo a un ritmo alarmante. Tener planes en marcha para mantener una empresa en funcionamiento es imprescindible para los beneficios corporativos, fines económicos y para proteger los medios de vida de los empleados. BCM genera un marco para garantizar la capacidad de recuperación de los negocios y la capacidad de funcionar después de un evento inesperado, minimizando el tiempo de recuperación. Los costos de implementar un BCM serán menores que experimentar un tiempo de inactividad prolongada .Sin embargo es importante que BCM sea bien modelado, mantenido y actualizado para determinar su relevancia y exactitud. Así, la seguridad y el cumplimiento de los tiempos frente a un inconveniente serán garantizados. Gracias a la implementación de BCM se puede asegurar la sobrevivencia de la empresa ante los riesgos ambientales o internos que pueden perjudicar el normal funcionamiento de esta. Las empresas serán más reconocidas si se sobreponen a cualquier tipo de problema, las personas confiaran más en ellas, lo que conllevara a tener más clientes y ganancias.
Ingeniería Civil Industrial, Tecnología &Sistemas, Universidad de La Serena, Chile
Novella et al./ Business Continuity Management (BCM) & Business Impact Analysis (BIA)(2014)
6.
Anexo
(Fig.1) Sistema de Gestión de la Continuidad del Negocio (SGCN), representado como un sube y baja
Dos aspectos de la continuidad del negocio. 1. Prevenir y evitar daños 2. Reanudar rápidamente las operaciones después de cualquier interrupción en las operaciones críticas. (Fig. 4) Concepto del plan de continuidad del negocio
7.
Referencias
Boehmer, W., Survivability and Business Continuity Management System According to BS 25999, Emerging Security Information, Systems and Technologies, 142 – 147 (2009) Brandt, Ch., Hermann F., & Engel Th., Modeling and Reconfiguration of critical Business Processes for the purpose of a Business Continuity Management respecting Security, Risk and Compliance requirements at Credit Suisse using Algebraic Graph Transformation, Enterprise Distributed Object Computing Conference Workshops : 64 – 71 (2009).
(Fig.2) Ciclo de vida de Gestión de la Continuidad del Negocio.
Draheim, D. & Pirinen, R., Towards Exploiting Social Software for Business Continuity Management, Database and Expert Systems Applications : 279 – 283, (2011). Gang, C. & Ke-jin, H., Grid-Based Business Continuity Management Mechanism of E-Business, E-Business and Information System Security, 1-4 (2009)
(Fig. 3) Fases del Business Impact Analysis
Herbane, B.; Elliott, D. & Swartz, E. M., Business Continuity Management: time for a strategic role?, Long Range Planning: 37(5), 435-457 (2004) Kawamura, S & Nakatani, Y., Business Continuity management system that supports progress management and operational planning, Systems Man and Cybernetics (SMC), 1407 – 1413 (2010)
Ingeniería Civil Industrial, Tecnología &Sistemas, Universidad de La Serena, Chile
Novella et al./ Business Continuity Management (BCM) & Business Impact Analysis (BIA)(2014)
Roberts, P. & Molyneux H., Implementing business continuity effectively within the UK National Health Service, Journal of Business Continuity & Emergency Planning: 4(4), 352-359 (2010) Sikdar, P., Alternate Approaches to Business Impact Analysis, Information Security Journal: A Global Perspective: 20, 128-134 (2011) Wan, S.H.C & Chan, Y., Adoption of Business Continuity Planning Processes in IT Service Management, Businessdriven IT Management, 21-30 (2008) Wilkinsona, P.; Glocklingb J.; Bouchlaghemc, D. & Ruikard K., Using business impact analyses to enhance resilient fire engineering building design, Architectural Engineering and Design Management: 9 (4), 229-249 (2013) Winkler, U. ; Gilani, W. ; Guitman, A. & Marshall, A., Models and Methodology for Automated Business Continuity Analysis, Engineering of Complex Computer Systems (ICECCS), 57 – 64 (2012) Xiaomi, A., Lemen Ch., & Liuqi Y., An Integration Management System for Managing Business Continuity, Records and Knowledge, Information Technology and Applications : 2, 398 – 402 (2010). Xiaomi, A., & Wang, W., The Integrated Use of Business Continuity Management Systems, Records Management Systems and Knowledge Management Systems, Management and Service Science : 1 – 4, (2010)
Ingeniería Civil Industrial, Tecnología &Sistemas, Universidad de La Serena, Chile