Gestión de la Continuidad del Negocio: RPO, RTO y BIA para la Resiliencia Operativa

Enviado por Chuletator online y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 5,53 KB

Estrategias de Continuidad y Recuperación del Negocio

Para asegurar la continuidad del negocio, es fundamental contar con dos planes esenciales:

  • Un BCP (Plan de Continuidad del Negocio), enfocado en los procesos de negocio estratégicos y objetivos.
  • Un DRP (Plan de Recuperación ante Contingencias o Desastres), asociado a los procesos tecnológicos que apoyan los objetivos estratégicos.

Ambos planes tienen como fin mantener la operación del negocio y están intrínsecamente asociados a los términos RPO y RTO.

RPO y RTO: Métricas Clave para la Recuperación

Estos dos indicadores son cruciales para definir las expectativas y capacidades de recuperación:

  • RPO (Punto Objetivo de Recuperación): Se refiere al volumen de datos en riesgo de pérdida que la organización considera tolerable. El RPO determina la posible pérdida máxima de datos introducidos desde el último respaldo (backup) hasta la caída del sistema, y no depende del tiempo de recuperación.
  • RTO (Tiempo Objetivo de Recuperación): Define el límite de tiempo máximo tolerable dentro del cual se recuperan los datos y se restablece la operatividad. Si se produce un desastre y los sistemas deben estar disponibles inmediatamente, pero se permite alguna pérdida de datos, el RTO puede ser cero.

Análisis de Impacto en el Negocio (BIA)

El BIA es el proceso de analizar las actividades críticas de una organización y el efecto que una interrupción del negocio podría tener sobre ellas. Sus objetivos principales son:

  • Determinar prioridades de continuidad.
  • Determinar prioridades de recuperación.
  • Establecer objetivos de continuidad.
  • Definir metas claras.

Herramientas para el BIA: El Diagrama de la Tortuga

Para analizar las actividades y sus interdependencias, se utiliza el Diagrama de la Tortuga, que desglosa un proceso en seis elementos clave:

  1. ¿Con Qué? (Tecnología Dura): Indica las características particulares de las máquinas, materiales, sistemas de cómputo, software, etc., utilizados en el proceso.
  2. ¿Con Quién? (Recursos Humanos): Detalla las competencias y habilidades concretas requeridas para ejecutar el proceso y sus procedimientos.
  3. ¿Cómo? (Tecnología Suave): Describe los métodos, procedimientos y técnicas utilizadas para planear, ejecutar y controlar el proceso.
  4. ¿Con Qué Resultados? (Medición y Valoración): Especifica las métricas de desempeño del proceso y sus valores planeados para la evaluación.
  5. Inicio y Entrada:
    • INICIO: Detalla las actividades que inician el proceso.
    • ENTRADA: Describe las entradas, materiales e información, especificando la interacción con los procesos que originan dichas entradas.
  6. Salidas: Detalla las salidas, materiales e información, especificando la interacción con los procesos a los cuales se dirigen dichas salidas.

Niveles de Criticidad de los Procesos

El análisis de impacto también evalúa la criticidad de los procesos, clasificándolos en diferentes niveles:

  • CRÍTICO:

    Estas funciones no pueden realizarse a menos que sean reemplazadas por capacidades idénticas. Las aplicaciones críticas no pueden ser sustituidas por métodos manuales. La tolerancia a la interrupción es muy baja; por lo tanto, el costo de interrupción es muy alto.

  • VITAL:

    Estas funciones pueden realizarse manualmente solo por un período breve de tiempo. Hay mayor tolerancia a la interrupción que con los sistemas críticos; por lo tanto, los costos de interrupción son un poco más bajos, considerando que las funciones son restauradas dentro de un marco de tiempo determinado (por lo general, 5 días o menos).

  • SENSIBLE:

    Estas funciones se pueden realizar manualmente, a un costo tolerable y por un período prolongado de tiempo. Aun cuando se pueden realizar manualmente, por lo general es un proceso difícil y requiere personal adicional para llevarlas a cabo.

  • NO SENSIBLE:

    Estas funciones pueden ser interrumpidas por un período prolongado de tiempo, a un costo muy pequeño o nulo para la compañía, requiriendo poco o ningún esfuerzo para ponerse al día cuando son restauradas.

Ejemplos Prácticos de RPO y RTO

  • RTO: Por ejemplo, podemos establecer un RTO de 2 días, lo que significa que, si ocurre un desastre, en menos de 48 horas estaremos de nuevo operativos. Un RTO corto suele ser más costoso que uno largo. Los RTO cortos prácticamente implican mecanismos automáticos de recuperación del servicio, mientras que los RTO largos permiten un tratamiento más manual.
  • RPO: Se establece un tiempo máximo de pérdida de información. Por ejemplo, si un sistema replica (hace backup) sus datos cada 24 horas, un desastre puede llevarnos a perder los datos de las últimas 24 horas.

En resumen, el RPO se enfoca en el pasado (la cantidad de datos que se pueden perder, basados en las copias de seguridad respaldadas), y el RTO se enfoca en el futuro (el tiempo que tardará en recuperar la operatividad del negocio).

Karma: -31%
Visitas: 0

Entradas relacionadas:

Etiquetas:
DRP Operaciones Críticas Criticidad de Procesos Diagrama de la Tortuga BIA Continuidad del Negocio Resiliencia Empresarial Recuperación de Desastres Recuperación de Datos Gestión de Riesgos RTO BCP RPO