Los diferentes personajes de la LOPD

IEE
Informáticos Europeos Expertos

Estamos en: 

  1. Artículos y Textos Legales >
  2. Artículos >
  3. ANÁLISIS DE IMPACTO. Herramienta imprescindible para una buena política de continuidad del negocio

Artículos - Seguridad de la Información

ANÁLISIS DE IMPACTO. Herramienta imprescindible para una buena política de continuidad del negocio

Juan Gaspar Martínez
Doctor Ingeniero de Telecomunicación
Socio Director de Infosafe

Las funciones que desempeña una organización no suelen tener el mismo grado de criticidad en función del tiempo. Aún admitiendo que todas ellas sean necesarias, no todas tienen las mismas repercusiones en las operaciones de la organización y, como consecuencia, una interrupción de la ejecución de una u otra no causaría los mismos perjuicios, e incluso para una misma función, puede ocurrir que el impacto sea diferente dependiendo del día o mes en que ocurra.

El objetivo del Análisis de Impacto es proporcionar a la Dirección la información necesaria para que pueda tomar decisiones en el desarrollo de su estrategia de continuidad. Para ello, el Análisis de Impacto debe determinar el grado de criticidad de dichas funciones en la razón de ser de la organización y el tiempo máximo a partir del cual, la interrupción de cada una de ellas es inaceptable.

Los objetivos básicos del Análisis de Impacto son los siguientes:

  • Definir los tipos de impacto que se deberían considerar, (económico, jurídico, comercial, operacional, de imagen, etc.).
  • Identificar las funciones críticas de la organización y sus interdependencias.
  • Identificar el impacto causado a la organización por la interrupción de cada una de ellas.
  • Informar a la Dirección de los resultados anteriores para que pueda fijar prioridades, definir cuáles son las funciones consideradas vitales y establecer los umbrales máximos de recuperación para cada una de dichas funciones.
  • Identificar los recursos mínimos necesarios para una recuperación satisfactoria de las funciones identificadas como críticas.

El análisis de los requisitos de recuperación, y por tanto, el alcance de un análisis de impacto, se puede hacer de manera formal o informal. Algunas organizaciones encuentran adecuado y efectivo, desde un punto de vista de costes, evaluar los impactos en el negocio de manera informal basándose en criterios empíricos que consideran suficientes para definir las funciones que son críticas para la organización. Otras encuentran necesario realizar un Análisis de Impacto en el Negocio de una manera más formal para documentar los impactos y justificar los requisitos de tiempos de respuesta.

Aunque la experiencia adquirida en los diversos análisis de impacto que hemos elaborado, así como los estudios realizados sobre la materia arrojan unos resultados individuales que varían tremendamente, esta experiencia, al igual que los desastres reales, sugieren que frecuentemente existen puntos comunes en el tiempo y tipo de impactos relacionados con desastres.

Los impactos normalmente aumentan de forma acelerada dependiendo de los ciclos de proceso del negocio. Los ciclos más comunes son los siguientes:

  • El mismo día (Día 0)
  • El día siguiente (Día 1)
  • Día 2
  • Días 3 - 7
  • Más de 7 días

El gráfico siguiente ilustra un comportamiento típico de impacto en función del tiempo

Gráfico Impacto/días

Los impactos más evidentes e inmediatos que se producen son económicos, tales como pérdida de ingresos, (por ejemplo, pérdida de ventas directas, incrementos de costes, pérdida de capacidad de producción con su posible repercusión en las ventas, pérdida de cash flow, etc.). Además, ocurren impactos operacionales o en el servicio a clientes que tienen efectos tan inmediatos y tangibles como los anteriores, (por ejemplo, pedidos retrasados, pagos demorados o mal aplicados, retraso en la respuesta a consultas de clientes). A menudo, los desastres ocasionan pérdida de activos no asegurados o imposibles de asegurar, (por ejemplo, pérdida de oportunidades, rotación de personal, responsabilidades legales, etc.).

Las organizaciones que han sufrido un desastre aseguran que los impactos intangibles son, como mínimo, tan devastadores como los que se pueden cuantificar. Entre los impactos intangibles podemos incluir mala imagen para la compañía, pérdida de la confianza de los inversores, consideraciones de tipo ético ante la sociedad. Estos impactos intangibles, a menudo se consideran una justificación suficiente, e incluso prioritaria, para aplicar una política de continuidad urgente.

Impactos más comunes

A continuación se describen algunos de los impactos más comunes en función del tipo de negocio:

  • Recuperación en el mismo día

    Solamente unas pocas funciones de negocio requieren una respuesta o recuperación en el mismo día. Cuando es necesario, las organizaciones frecuentemente tienen ya implantados planes de respuesta para hacer frente a estos requisitos cruciales del día a día. El tipo de circunstancias e impactos que justificarían una respuesta en el mismo día podrían ser:

    • Contestación de llamadas telefónicas de clientes.
    • Procesado de funciones financieras muy voluminosas y sensibles al tiempo, (por ejemplo, transferencia electrónica de fondos, departamentos de pedidos telefónicos de gran volumen).
    • Asuntos relacionados con la salud y la seguridad, (por ejemplo, atención desde hospitales, policía).
    • Impactos medioambientales, (por ejemplo, planes de actuación ante fugas o escapes de productos químicos).
    • Daño grave a la imagen o reputación, (por ejemplo, tratamiento de compañías de seguros, petición de alimentos o medicamentos).

    Además de lo anterior, las organizaciones que han sufrido un incidente, aseguran que una necesidad urgente es proporcionar una gestión inmediata y planificada de forma extensiva. Las acciones cruciales de la gestión del incidente incluyen: comunicación interna y externa, coordinación y cooperación con las autoridades civiles y activación y coordinación de las actividades de soporte a la recuperación. En particular, la necesidad de comunicarse clara y rápidamente con los clientes es de la mayor importancia. . El fallo en proporcionar esta comunicación da como resultado reacciones negativas graves:

    • Falta de comprensión por parte de los clientes muy alejados, que no están al corriente de las circunstancias.
    • Sensación de incompetencia de la Dirección percibida por clientes y empleados, (por ejemplo, debería haberse previsto, implantando algún tipo de plan de contingencia).
  • 1-2 Días

    La mayor parte de los negocios pueden sobrevivir durante un día de interrupción sin que haya consecuencias amenazadoras para la compañía, (por ejemplo, la interrupción producida por una inundación). Sin embargo, después de uno o dos días, empiezan a sentirse los impactos siguientes:

    • El servicio a clientes comienza a deteriorarse sensiblemente, (por ejemplo, los clientes no pueden comunicarse con la compañía, los pedidos y los envíos comienzan a retrasarse).
    • La información relativa a clientes necesita estar restaurada y disponible para satisfacer las necesidades de entregas y gestión de pedidos.
    • Los impactos en ingresos comienzan a hacerse patentes, (por ejemplo, pérdida de ventas como consecuencia del retraso de pedidos, impactos en el cash flow).
  • 3-7 Días

    Hay pocas compañías que puedan soportar que las funciones de sus negocios principales estén interrumpidas más de un par de días. El tipo de impactos reportados en el marco de 3-7 días incluye:

    • Notoriedad extremadamente alta, (por ejemplo, informaciones negativas en la prensa económica, impacto en la cotización de las acciones).
    • Pérdida de clientes (a largo plazo y quizás permanentemente).
    • Problemas contractuales graves (plazos incumplidos, cláusulas de penalización, pleitos).
    • Amenaza financiera o quiebra.

    Además, La capacidad para recuperarse resulta, a menudo, muy difícil con estos intervalos de tiempo. El tamaño de la plantilla existente puede no ser adecuado para recuperarse en un periodo razonable de tiempo.

  • Más de una semana

    Es mucho menos común que exista información sobre impactos de interrupciones del servicio por plazos tan largos (por ejemplo, superior a una semana). La mayor parte de las organizaciones no pueden predecir exactamente los impactos de interrupciones de larga duración. Las interrupciones largas son escasas. Los impactos son tan grandes, que la mayor parte de las organizaciones gastarán todos los recursos que sean necesarios, para recuperar un cierto nivel de servicio, dentro del plazo de una semana.

    Incluso después de una recuperación con éxito de las funciones de negocio críticas, los impactos negativos continuarán haciéndose notar en las organizaciones que no estaban preparadas:

    • La reconstrucción de la información, cuando es posible, es enormemente costosa.
    • La pérdida permanente de información, impacta sobre la competitividad a largo plazo, (por ejemplo, pérdida de información histórica, incremento en los gastos de litigios).
    • La desmotivación y altas tasas de rotación del personal son frecuentes después de que ocurra una interrupción demasiado prolongada.

Análisis

Una de las tareas más difíciles de llevar adelante es conseguir la homogeneización de las respuestas al evaluar el grado de criticidad de las funciones.

Cuando su evaluación se puede realizar con criterios cuantitativos, la cosa no ofrece dudas, pero si esto no es posible y hay que recurrir a criterios cualitativos, (lo que resulta muy frecuente), la definición de leve, medio, grave o catastrófico puede resultar muy dispar en función de la persona que lo juzgue. Es humano pensar que las funciones propias son, si no las más importantes, si al menos de las más importantes, por ello es necesario establecer unos criterios objetivos que permitan quitar algo de la carga de subjetividad que tiene cualquier evaluación.

A modo de sugerencia, en la tabla siguiente se ilustran una serie de criterios que pueden servir de ayuda. A partir de su aplicación, los resultados serán más homogéneos y permitirán a quien deba validarlos, realizar una somera labor de supervisión más que rehacerlos de nuevo.

TIPOS DE IMPACTO Y EFECTOS PRODUCIDOS CRITERIOS Y VALORACIÓN
Leve Medio Grave Catastrófico
Pérdida de ingresos(% de facturación) de 0,1 De 0,1 a 1 De 1 a 10 >de 10
Pérdida de beneficios (%) < de 0,01 De 0,01 a 0,1 De 0,1 a 1 >de 1
Incremento de costes y/o gastos (%) < de 0,1 De 0,1 a 1 De 1 a 10 > de 10
Impacto comercial Produce una interrupción leve en el suministro de servicios o productos con mínimo impacto en la operativa de los clientes. La pérdida de ventas se recupera al reanudar la actividad Obliga al cliente a cambiar de proveedor de forma transitoria. Las ventas no realizadas no se recuperan Pérdida de algunos clientes de forma definitiva. Impacto leve en la cartera de prospectos Pérdida de clientes clave. Impacto grave en la cartera de prospectos
Impacto operacional Produce retrasos en funciones no vitales Produce retrasos leves en funciones vitales Produce retrasos graves en funciones vitales Produce la interrupción inmediata de funciones vitales
Impacto en la imagen Conocido solamente por algunos clientes. Sin presencia en los medios de comunicación Pérdida de confianza en un producto o servicio específico o en una parte de la organización. Comentarios adversos en medios locales Pérdida de confianza en una gama de productos o servicios o en varias áreas de la organización. Comentarios adversos en los medios nacionales Pérdida de la confianza del mercado y daños a la imagen de marca. Campaña continuada en los medios nacionales. Impacto en la Bolsa
Incumplimiento de obligaciones legales Produce una falta leve en el cumplimiento de algún contrato. Produce una falta en el cumplimiento de algún contrato que obliga a renegociar Produce una falta grave en el cumplimiento de algún contrato que acarrea responsab. legales Deja a la organización al margen de la ley

Requisitos para la recuperación

La aplicación de los criterios anteriormente citados nos dará como resultado una criticidad concreta para cada función y nos permitirá establecer prioridades en su recuperación, estableciendo los umbrales de tiempo en que dichas funciones deberían estar recuperadas.

La elección de las estrategias y soluciones de recuperación estará dictada por dos factores: la necesidad de cumplir con los requisitos de tiempo de recuperación y el coste correspondiente. Estos dos factores están típicamente interrelacionados.

Según se ilustra en el gráfico siguiente, los costes de las estrategias de recuperación, a menudo están en proporción directa a la rapidez con que se quiere obtener la recuperación.

gráfico Costes/tiempo

Por ejemplo, si se requiere la recuperación inmediata de un gran departamento de pedidos telefónicos en una organización de venta por catálogo con varios cientos de estaciones, se necesitarán unas instalaciones redundantes con un coste muy superior a si el mismo departamento pudiera diferir la recuperación por varias semanas. El espacio de oficinas y la reubicación de equipos y telecomunicaciones podría instalarse durante el tiempo de recuperación y los costes correspondientes, serían muy inferiores.

El equilibrio entre ambos parámetros habrá de buscarse en función de lo que podemos definir como “pérdidas asumibles”, es decir, las que se producirían durante el intervalo de tiempo en que la función correspondiente va a estar interrumpida antes de su recuperación.

El Análisis de Impacto así realizado, nos dará la información necesaria para estudiar las posibles estrategias para la recuperación