Consideraciones clave para el clculo de los RTO

Ing. MBA Guillermo Martn Palacios Rubio Consultor en Gobierno de TI, Aplus2
ISACA ID: 674212

Resumen: Uno de los puntos ms relevantes para elaborar un buen anlisis de impacto del negocio (BIA, por sus siglas en ingls) consiste en determinar adecuadamente los tiempos objetivos de recuperacin (RTO) de los procesos crticos encontrados durante el anlisis de impacto financiero y el impacto operacional. El tiempo objetivo de recuperacin de un proceso crtico depende de los tiempos objetivos de recuperacin de los procesos, servicios y recursos crticos necesarios para que el proceso pueda retornar a niveles aceptables de normalizacin. En el presente artculo se describe de una manera clara y resumida un procedimiento para determinar los RTO de los procesos crticos a travs del desarrollo de dos casos especficos. Palabras Clave: RTO, MTD, BIA

INTRODUCCIN El Anlisis de Impacto al Negocio (BIA por sus siglas en ingls) es una de las fases metodolgicas en la implementacin de un sistema de gestin de continuidad del negocio. Su importancia no radica solamente en la identificacin de los procesos crticos, que muy a menudo lo desmerece puesto que muchos argumentan quin no conoce los procesos crticos de su empresa? Para eso necesito hacer un BIA? Su importancia tambin radica en la identificacin de las ventanas de tiempo de recuperacin (RTO por sus siglas en ingls) que adems de establecer la prioridad de recuperacin, tambin provee valiosa informacin para el diseo de las estrategias de recuperacin. Como experiencia personal la inquietud ms importante es si hacemos bien en pensar que el BIA es sinnimo de efectuar cuestionarios o entrevistas; o si en verdad resulta mucho mejor (y exitoso) cuando se enfoca primero a entender y modelar correctamente el negocio. El pensar que el BIA es solamente un cuestionario que tiene que enviarse a

varios destinatarios que respondern segn su criterio, analizar la informacin recabada y emitir los reportes correspondientes, considero que es una manera simplista de tratar el asunto. Por ello, antes de pensar en preguntar por RTOs, impactos, u otros elementos del BIA, primero modelemos de manera precisa cmo los calcularemos. Antes de pasar a analizar los ejemplos prcticos debemos tener en cuenta que existen dos tipos de RTO para un proceso determinado: i. El RTO inherente al proceso que se determina a partir del tiempo de recuperacin necesario para tener disponibles los recursos crticos del proceso. ii. El RTO asociado a los procesos o servicios de los cuales depende. El mayor de ambos constituye el RTO materia de nuestro anlisis. En nuestros ejemplos nos centraremos en la determinacin del RTO asociado a los procesos o servicios necesarios para una reanudacin a los niveles aceptables.

Pgina 1 de 3

1. Calculando los RTO en procesos de negocio Durante la fase de entendimiento de la organizacin el primer paso es identificar el mapa de procesos de la organizacin, las funciones del negocio que desempean estos procesos y sus responsables directos (dueos de los procesos). Con el inventario de procesos como material, se deben mantener reuniones con los dueos de los procesos para identificar la interdependencia de los procesos. Con la interdependencia de los procesos analizamos los RTO en funcin de los RTO de los procesos de los cuales depende nuestro proceso de negocio. En el grfico N 01, Tesorera no depende de otro proceso, Inversiones depende de Tesorera y Legal, y Pagos depende de Tesorera.

Tesorera debe recuperarse antes que Inversiones. Como Pagos tambin depende de Tesorera entonces el RTOTesorera debe ser menor al RTOPagos Considerando que Tesorera tiene su propio RTO inherente a si misma, entonces el RTOProceso1 es el mnimo entre RTOTesorera, RTOInversiones y RTOPagos. Para Inversiones (Proceso2): Como no existen procesos dependan de l, entonces el RTOProceso2 es RTOInversiones El caso de Pagos (Proceso 3): Como no existen procesos dependan entonces el RTOProceso3 es RTOPagos El caso de Legal (Proceso 4): Como Inversiones depende de Legal entonces el RTOProceos4 es el mnimo RTOLegal y el RTOInversiones entre

que

que

2. Calculando los RTO en Servicios de TI Si efectuamos el mismo anlisis, pero ahora considerando los Servicios de TI que soportan los procesos de Negocio, tendremos el siguiente esquema:

Grfico N 01: Inter relacin de procesos

La pregunta entonces es: Cul es el RTO correcto para los 4 procesos? Analicemos la respuesta: Para Tesorera (Proceso 1): Como Inversiones depende de Tesorera entonces el RTOTesorera debe ser menor al RTOInversiones. Grfico N 02: RTO para los servicios de TI Ya antes habamos calculado el RTO correcto de cada uno de los procesos

Pgina 2 de 3

de negocio; ahora bien, pensemos en cmo calcular el RTO correcto para cada Servicio de TI. Para ello aplicaremos el concepto de herencia, es decir que los Servicios de TI heredarn los RTOs de los procesos de negocio que soportan. Los Servicios de TI responden a los requerimientos de los procesos de negocio. Analizando los servicios mostrados en el grfico anterior podemos concluir: El Servicio de TI 1 soporta nicamente al Proceso 1, por ende, el RTOSTI1 es igual al RTOProceso1 (el Servicio de TI 1 tiene que recuperase antes o igual que el tiempo que el Proceso 1 necesita recuperarse). El Servicio de TI 2 soporta nicamente al Proceso 1, por ende, el RTOSTI2 es igual al RTOProceso1. El Servicio de TI 3 soporta a los Procesos 2 y 3, por ende, el RTOSTI2 es el mnimo entre RTOProceso2 y RTOProceso3 (el Servicio de TI 3 tiene que recuperase antes que cualquiera de los Procesos 2 y 3).

Procesos de Negocio; aunque con algunas diferencias al momento de su extrapolacin. BIBLIOGRAFA Barnes, James. A Guide to Business Continuity Planning.John Wiley & Sons Ltd. New York, 2001. Hiles, Andrew. Business Continuity. The Definitive Handbook of Business Continuity Management. John Wiley & Sons, Ltd. New York, 2001.

CONCLUSIONES Este es un interesante ejercicio que se concentra primero en modelar el negocio en vez de empezar con cuestionarios, claro que no se descarta el uso de los mismos, sino que utilizar los cuestionarios para obtener la informacin necesaria para el modelo, como por ejemplo: Procesos y sus dependencias, Servicios de TI asociados a cada proceso, dependencias entre Servicios de TI, y otra mucha informacin que podemos seguir creando de acuerdo con la profundidad que se desee realizar el BIA. Para finalizar, pensemos que este clculo se podra efectuar de similar forma para el caso de recursos crticos relacionados con cada Servicio de TI, o con Servicios de Apoyo (o soporte) relacionados con

Pgina 3 de 3