Indicadores para medir el rendimiento de la gestión de la continuidad del negocio

Algunos indicadores pueden utilizarse para medir el rendimiento de la continuidad del negocio, asegurar los procesos del negocio y cumplir con los objetivos de la empresa.

Una de las actividades principales en la gestión de la continuidad del negocio es la medición del rendimiento del programa. Una buena gestión implica el análisis de los procesos del negocio en curso para asegurarse de que se están cumpliendo los objetivos de la empresa. En la mayoría de las actividades de gestión de la continuidad del negocio se realiza (o se debería realizar) una revisión de la gestión y un proceso de evaluación.

Este artículo trata sobre los indicadores en un modelo de dos niveles que se pueden utilizar para medir el rendimiento de la continuidad del negocio. Los indicadores de nivel 1 sirven de soporte al programa de CN; los de nivel 2 proporcionan unas mediciones con mayor detalle.

Indicadores de nivel 1 en los programas de continuidad de negocio

En una auditoria típica, se recogen los controles (indicadores) y se mide el rendimiento respecto a ellos. Dentro de la continuidad del negocio, podemos identificar diversos indicadores de alto nivel, que podemos llamar “nivel 1”.

Una manera sencilla de utilizar los indicadores de los niveles 1 y 2 es configurar una hoja de análisis de las deficiencias con los siguientes encabezados de columna:

Área de acción - Indicador - Situación actual - Situación deseada - Acción recomendada

Si se configura una hoja de análisis de las deficiencias, se pueden comparar fácilmente los indicadores con lo que realmente se está haciendo. De este modo se pueden identificar las acciones necesarias para lograr el cumplimiento de los objetivos.

Áreas de acción del nivel 1 - Ejemplos de indicadores

Inicio y gestión de proyectos  

   Proceso de gestión del programa en la propia empresa
   Equipo cualificado que gestiona el programa
   Políticas y procedimientos aprobados

Análisis y gestión del riesgo  

   Proceso de gestión del riesgo
   Análisis periódicos del riesgo
   Procesos de tratamiento del riesgo implantados

Análisis de impacto en el negocio  

   Identificación de las principales relaciones y dependencias con las organizaciones internas y externas
   Identificación de las consecuencias financieras de un incidente destructivo
   Identificación de los objetivos de tiempo de recuperación (RTO) y de punto de recuperación (RPO) de las funciones críticas

Desarrollo de estrategias de continuidad  

   Lista de estrategias potenciales definidas
   Proceso para proyectar a las estrategias los problemas de la recuperación basados en el impacto en el negocio
   Proceso para determinar la eficacia de las estrategias

Respuesta y gestión de las emergencias  

   Plan de respuesta y gestión en caso de incidente
   Vinculación del plan de mensajería instantánea al plan de continuidad de negocio
   Formar a los miembros del equipo de mensajería instantánea para las actividades de respuesta

Desarrollo y aplicación de planes de continuidad del negocio y documentos relacionados  

   Proceso de desarrollo de un plan de continuidad del negocio en la empresa
   Vinculación con los planes de mensajería instantánea, estrategias, análisis de impacto en el negocio, etc.
   Procedimientos operativos definidos para el plan de continuidad del negocio

Programas de concienciación y formación  

   Programa de concienciación y formación en la empresa
   Calendario de difusión del programa de información
   Calendario de formación sobre la continuidad del negocio y otras acciones relacionadas

Mantenimiento y práctica de los planes de continuidad del negocio y otras actividades relacionadas  

   Programa de prácticas en la empresa con un calendario de ejercicios
   Evaluación de los ejercicios y recomendaciones
   Políticas de mantenimiento y calendario de actualizaciones

Relaciones públicas y comunicación de las crisis  

   Lista de detallada de todos los contactos críticos internos y externos
   Políticas y procedimientos para las relaciones con los medios de comunicación
   Procedimiento de alerta rápida para empleados, proveedores y otras partes interesadas

Coordinación con las autoridades públicas  

   Lista de contactos de los representantes principales de la policía, bomberos, servicios de rescate, hospitales y centro coordinador de emergencias
   Calendario de reuniones con los voluntarios de protección civil y primeros auxilios
   Revisión periódica de los planes de continuidad del negocio, recuperación ante desastres y de emergencias a cargo de los servicios de protección civil

Indicadores de nivel 2 en los programas de continuidad del negocio

En comparación con los indicadores de nivel 1, los indicadores de nivel 2 suelen presentar mayor detalle y concrección. Se pueden encontrar en planes de recuperación ante desastres centrados en la tecnología que se ocupan de la protección y recuperación de datos, de la prevención de las amenazas informáticas que puedan poner en peligro los sistemas y datos críticos, de la recuperación y reinicio de los servidores críticos, de la restauración de los servicios de infraestructura de red y del traslado del personal a centros de trabajo alternativos.

Áreas de acción del nivel 2 - Ejemplos de indicadores

Recuperación de datos  

   Copias de seguridad actuales en el plazo de una hora desde la última actualización
   Tiempo de recuperación de archivos de datos críticos: una hora
   Recogida diaria de las copias de seguridad en cinta antes de las 6:00 pm

Recuperación de servidores  

   Plazo para la restauración y reinicio de los servidores: una hora desde la interrupción del servicio
   Plazo para sustituir físicamente los servidores en los bastidores designados: 30 minutos
   Número máximo de errores durante el reinicio inferior a dos

Recuperación de la red de datos  

   Plazo para recuperar, restaurar y reconfigurar los routers: una hora desde la interrupción del servicio
   Tiempo necesario para probar y validar el rendimiento de la red antes de empezar a transmitir datos en tiempo real: una hora desde la interrupción del servicio
   Tiempo máximo necesario para sustituir físicamente los dispositivos de red dañados: cuatro horas

Recuperación del equipo de voz  

   Tiempo necesario para reiniciar el sistema de voz: una hora desde la interrupción del servicio
   Plazo máximo para la llegada de los servicios de la empresa a las instalaciones: cuatro horas desde la llamada al servicio de asistencia
   Tiempo necesario para sincronizar los circuitos DS-1/PRI con el conmutador: cuatro horas

Activación de sitios de respaldo calientes  

   Tiempo necesario para confirmar la aprobación desde el sitio de respaldo caliente para la recuperación de espacio: una hora desde que se inicia el contacto
   Tiempo necesario para reiniciar los sistemas críticos en el sitio de respaldo caliente: una hora desde la interrupción del servicio
   Tiempo necesario para reubicar al personal en el sitio de respaldo caliente: cuatro horas desde que se comunicó la interrupción

El uso de indicadores para medir el rendimiento de la continuidad del negocio proporciona pruebas tangibles y verificables de que su programa se ajusta a las expectativas. Los ejemplos que hemos proporcionado en este artículo pueden servirle como punto de partida. El nivel de detalle depende de su empresa, de la forma en que se dirige el negocio y del modo en que se mide el rendimiento.

Sobre el autor: Paul Kirvan  FBCI, CBCP, CISSP, tiene más de 20 años de experiencia en la gestión de la continuidad de negocio como consultor, escritor y educador. También es secretario del Instituto para la Continuidad de Negocio (Business Continuity Institute), Sección de EE.UU.

Investigue más sobre Seguridad de la información

ComputerWeekly.com.br
Close