Universidad Tecnolgica de El Salvador Facultada de Informtica y Ciencias Aplicada ETS2- L-MI-V 18:00-19:00-sec01

Clases Electiva IV. Ciclo 01-2014 Pgina 1 de 4

Material apoyo.

01 mar2014

Asignatura

DESARROLLO DE REDES DE DATOS

IV

TEMA: Diez errores comunes en el

anlisis de impacto al negocio(BIA)

Docente

Lic. Otto R. Olivares S.

Un anlisis del impacto al negocio (BIA) es central en el desarrollo de los planes de continuidad de negocios (BC) y de recuperacin de desastres (DR). Un BIA es una exposicin de las necesidades de recuperacin, una jerarqua de prioridades y una propuesta de valor para soportar las inversiones de la alta gerencia en respaldo de datos, instalaciones alternas, duplicacin de equipos y otros recursos. Demuestra las vulnerabilidades de una organizacin, as como lo que hay que hacer antes de un desastre para cumplir los requerimientos del negocio, y lo que se puede diferir hasta que ocurra un desastre.

Lista de verificacin de los 10 errores ms comunes para el anlisis de impacto al negocio:

1. Considerar el impacto de las aplicaciones ininterrumpidas, no de las funciones de negocio: Lo que impulsa un anlisis de impacto al negocio, es el negocio. La primera cuestin que necesita abordarse es cul ser el impacto en toda la organizacin si no se puede realizar una funcin de negocios. La segunda cuestin es de cules aplicaciones depende esa funcin.

2. Considerar las aplicaciones en forma aislada: Si bien los usuarios de negocios conocen cules son las aplicaciones de las que dependen, a menudo no saben en qu otras aplicaciones o infraestructura se basan aqullas. Cuando se tenga que determinar la importancia relativa de las aplicaciones, el analista necesita comprender la totalidad del ambiente de TI: servidores, almacenamiento, red, infraestructura y el portafolio de aplicaciones en conjunto.

3. Prestar muy poca atencin al impacto financiero: No debera preguntarse, si la aplicacin X no pudiera ejecutarse, cunto dinero se perdera?. Eso plantea muchas otras preguntas, tales como: Se podra recuperar las prdidas cuando se

UTEC

Universidad Tecnolgica de El Salvador Facultada de Informtica y Ciencias Aplicada ETS2- L-MI-V 18:00-19:00-sec01

Clases Electiva IV. Ciclo 01-2014 Pgina 2 de 4

restaure el sistema? Podra la cada del sistema causar la prdida de clientes, al igual que de ventas? Cuntas prdidas pueden atribuirse a una aplicacin especfica? Al realizar un BIA, la informacin financiera generalmente se recolecta, y luego no se utiliza al determinar los requisitos de recuperacin, porque es muy complicado. Debera considerar el impacto de prdidas y ganancias de una interrupcin prolongada del sistema, as como el capital y los costos operativos que conllevara la reconstruccin.

4. Prestar demasiada atencin al impacto financiero: Hay otros impactos adems de las prdidas financieras que pueden ser mucho ms importantes para la alta direccin. El efecto sobre la reputacin y la retencin de clientes podra pesar ms en su mente. Por otra parte, muchos gerentes no entienden completamente cmo encajan sus funciones en el modelo de negocios de su compaa. As que ellos atribuyen la totalidad del riesgo financiero a sus propias aplicaciones, en lugar de considerar todo el negocio.

5. No distinguir aplicaciones empresariales: Algunas aplicaciones son ms importantes que otras, ya que sirven a la empresa en su conjunto. Pero no hay ningn gerente que pueda indicar la importancia global de esas aplicaciones. Sin embargo, una aplicacin que sirve para una sola funcin de negocios, o que sirve a muchas funciones en diferentes formas, podra no ser notada fcilmente. Hay algunas aplicaciones, como los sistemas de planeacin de recursos corporativos (ERP) o los de manejo de relaciones con los clientes (CRM), cuyo impacto es evidente. Pero hay otros (como soporte legal o manejo de documentos) que podran pasar relativamente desapercibidos.

6. No reconocer aplicaciones de centro de datos: Algunas aplicaciones no tienen usuarios de negocios. Estas aplicaciones incluyen los sistemas operativos, los sistemas de manejo de bases de datos y las herramientas de centro de datos, que hacen posible el funcionamiento de las aplicaciones de negocios. Es fcil decir que toda la infraestructura debe ser recuperada antes que todas las aplicaciones, pero un sistema operativo, en un oscuro servidor, que realiza anlisis debera ser recuperado antes que los sistemas de crdito, comercio o de inventario?

7. Confundir una evaluacin de riesgo con un anlisis de impacto al negocio: Una evaluacin de riesgo determina qu podra causar una cada del sistema; un anlisis del impacto al negocio muestra los efectos que tendra esta cada si realmente ocurriera. Ha habido demasiados eventos inverosmiles en los ltimos aos para llegar a confundir estos trminos. El problema radica en las

Universidad Tecnolgica de El Salvador Facultada de Informtica y Ciencias Aplicada ETS2- L-MI-V 18:00-19:00-sec01

Clases Electiva IV. Ciclo 01-2014 Pgina 3 de 4

consecuencias resultantes de las interrupciones de duracin variable, independientemente de la causalidad.

8. Confundir la aceptacin del riesgo con un anlisis de impacto al negocio: Si un gerente de negocios est dispuesto a tomar el riesgo de que su aplicacin no est disponible, eso no significa que no es necesario determinar el impacto global. Generalmente, los gerentes no quieren perder tiempo en el proceso de BIA, as que toman el camino fcil. Sin embargo, este es un enfoque arriesgado, y muchos gerentes no se dan cuenta del gran riesgo que estn tomando. Una cosa es que los gerentes acepten el riesgo de sus propias aplicaciones, y otra muy distinta arriesgar a toda la compaa.

9. Predeterminar los resultados del BIA: Algunas veces el resultado de un anlisis parece obvio para los gerentes, as que automticamente asumen la respuesta sin pasar por todo el proceso de BIA. Los supuestos pueden producir resultados correctos 80% de las veces, pero eso significa que 20% del tiempo estn equivocados. En otras palabras, una de cada cinco funciones de negocios o aplicaciones est analizada de manera inexacta. El impacto podra manifestarse cuando ocurra un desastre, y para entonces ser muy tarde.

10. No respaldar un resultado de BIA: Un gerente puede optar por subestimar los impactos financiero, operativo o reputacional que puede causar que sus aplicaciones no estn disponibles, debido al costo de recuperacin percibido. De todos los diez errores aqu listados, este es el ms insidioso, porque intencionalmente socava la exposicin general de las necesidades de recuperacin que un BIA pretende producir. Es entendible que los gerentes puedan estar ms preocupados por el presupuesto de hoy que por un incidente que podra (o no) ocurrir en el futuro, pero estn poniendo una carga de riesgo potencialmente intolerable en la empresa.

Haciendo un adecuado anlisis del impacto al negocio

En general, debera realizar sus BIA con una mente abierta y seguir los hechos dondequiera que lo lleven. Los prejuicios existentes podran quedar destrozados, pero si los prejuicios fueran confiables no habra necesidad de hacer una lista de verificacin para su anlisis de impacto al negocio. En demasiadas organizaciones, el llamado anlisis de impacto al negocio para los sistemas de informacin se elabora en una rpida reunin entre unos pocos gerentes de TI.

Universidad Tecnolgica de El Salvador Facultada de Informtica y Ciencias Aplicada ETS2- L-MI-V 18:00-19:00-sec01

Clases Electiva IV. Ciclo 01-2014 Pgina 4 de 4

Un plan de recuperacin de desastres para TI es un subconjunto del plan de continuidad de negocios, y el carcter crtico de una aplicacin depende de qu tan crtica es la funcin de negocios (o las funciones de negocios) que dependen de ella. Las funciones de negocios de cualquier organizacin son complejas e interdependientes. En las grandes compaas, podran estar tan entrelazadas que comprender el impacto relativo de una frente otra es una labor titnica. Pero es un esfuerzo que vale la pena, no solo para que la alta gerencia pueda invertir en recuperacin, sino tambin por el entendimiento que les da sobre las complejidades de las compaas que manejan.