Juan Carlos Gómez Castillo, Telefónica.
Juan Carlos Gómez Castillo Director global de Seguridad Digital Telefónica

Métricas de continuidad de negocio

Continuidad de negocio.

Estas dos citas pueden resumir los principales retos a los que hay que enfrentarse cuando se quieren identificar métricas de continuidad de negocio en una empresa: “Lo que no se define no se puede medir. Lo que no se mide no se puede mejorar. Lo que no se mejora se degrada siempre” (William Thomson) y “Lo que se mide no siempre es importante y lo que es importante no se puede medir”.

Lo primero que hay que tener claro a la hora de definir medidas (métricas, indicadores, variables, KPI, KGI, etc.) es saber qué se quiere medir. No es lo mismo medir la continuidad de negocio (que es la capacidad de la organización para continuar el suministro de productos y servicios a un nivel predefinido aceptado en caso de incidente grave), la gestión de la continuidad de negocio (entendida como un proceso de gestión holístico) o un sistema de gestión de continuidad de negocio (herramienta para la gestión).

Además, hay que preguntarse quiénes son los destinatarios de estas medidas, para qué se miden y cómo se van a medir. Y, por supuesto, no se puede olvidar que una buena medida debe ser útil, sencilla de entender, fácil de obtener y, lo más importante, muy bien definida. Para ello, se puede utilizar la plantilla que precisa el Anexo A de la norma ISO/IEC 27004.

Cuadro de mando

Pero un conjunto más o menos acertado de medidas no es un cuadro de mando, es decir, no es una buena práctica hacer un cuadro de mando a partir de lo que se puede medir fácilmente. Un cuadro de mando debe seguir una metodología para llegar a un conjunto adecuado de medidas ordenadas y relacionadas entre sí, de forma que ofrezcan información relevante para comunicar y gestionar y, por lo tanto, poder tomar decisiones.

Pero, ¿qué metodología es la más adecuada para construir un cuadro de mando? La respuesta depende de la finalidad y uso que se le quiera dar, que a su vez tiene relación precisamente con lo que se quiere medir. Existen varias metodologías o tipos de cuadro de mando:

  • Modelo de madurez: permite medir el grado de consecución y progreso de un conjunto de actividades que se quieren realizar.
  • Modelo jerárquico estructurado: indicado para caracterizar o medir un elemento, medir la disponibilidad de una infraestructura, etc.
  • Modelo GQM (Goal Question Metric): adecuado para medir objetivos o conceptos a través de preguntas que, a su vez, son respondidas mediante un conjunto de medidas que nos dan una idea del objetivo o concepto.
  • Cuadro de mando integral: cuando lo que se quiere es una herramienta que sirva para comunicar una estrategia y medir su seguimiento, así como analizar cómo contribuye esta estrategia al negocio de la empresa.

De entre todos estos tipos, el modelo jerárquico estructurado es útil para medir la continuidad de negocio de una empresa y el modelo de madurez es la metodología más adecuada para medir la gestión de la continuidad de negocio (Figura 1).

Continuidad de negocio.
Figura 1.

Modelo jerárquico estructurado

El modelo jerárquico estructurado consiste en descomponer el elemento que se quiere medir en elementos más simples, y así de forma recursiva hasta que se llega a medidas que son relativamente fáciles de obtener. La relación de los elementos de un nivel con el elemento superior se define mediante contribuciones ponderadas (función de sumas ponderadas), relación del enlace más débil (función de mínimos), contribución condicionada, etc.

Utilizando la metodología de modelo jerárquico estructurado, sería posible medir la continuidad de negocio descomponiéndola en la continuidad de los productos o servicios que la empresa provee (mediante una relación de suma ponderada de cada servicio en base a la contribución de cada servicio al beneficio neto de la empresa). A su vez, cada producto o servicio se puede descomponer en los procesos de negocio necesarios para su provisión. Cada uno de estos procesos se descompone en los recursos (humanos, tecnológicos, edificios, etc.) en los que se apoya para su desarrollo. Midiendo la continuidad de estos recursos, se podría ir calculando hacia arriba de la pirámide una medida sobre la capacidad de la empresa relativa a la continuidad de negocio.

Llegados a este punto, el gran reto está en medir la continuidad o capacidad de recuperación de estos recursos. Para ello, se puede descomponer este recurso en un conjunto de atributos que puedan caracterizar esta continuidad (como la existencia de un plan de continuidad del recurso, su completitud y profundidad, el nivel y frecuencia de las pruebas, el resultado de las pruebas, etc.) y combinarlos mediante una función determinada. Aquí hay que tener en cuenta que lo que se quiere medir es la capacidad (futuro) y no la disponibilidad (pasado).

La guinda del pastel sería calcular, asociada a cada medida, su nivel de confianza o margen de error, de forma que podamos calcular en la cúspide de la pirámide el margen de error en la interpretación de la medida.

Modelo de madurez

El modelo de madurez permite evaluar el estado en el que se encuentra un determinado proceso o actividad. Cada uno de estos estados se corresponde con un nivel de madurez que, normalmente, va de cero a cinco (figura 2).

Continuidad de negocio.
Figura 2.

Si se utiliza un modelo de madurez, se puede medir la gestión de la continuidad de negocio evaluando para cada una de las actividades (organización, análisis de impacto, estrategias, planes de continuidad, pruebas, revisiones, concienciación, etc.) el nivel de madurez en el que se encuentra la organización. Para que la evaluación sea lo más objetiva posible, es importante tener definido muy bien, por cada uno de los niveles correspondientes a cada actividad, qué requisitos se deben cumplir para estar en ese nivel.

De esta forma, es posible medir cómo la organización progresa con el tiempo y se pueden establecer comparativas tanto históricas como con otras empresas que utilicen el mismo modelo y definición de niveles.

Además de lo anterior, sobre un modelo de madurez se pueden definir y obtener indicadores de implantación, eficacia y eficiencia dentro de cada actividad. Por ejemplo, una empresa puede estar en un nivel cuatro de madurez en cuanto a la realización de análisis de impacto del negocio (BIA, por sus siglas en inglés), pero sólo cubrir el 40 por ciento de los procesos críticos (indicador de implantación) y sólo tener actualizados el 10 por ciento de los BIA realizados (indicador de eficacia).

Conclusión

En definitiva, unas buenas métricas dentro de un cuadro de mando son una herramienta muy útil para la gestión: ayudan a comunicar, justificar presupuestos, tomar decisiones, etc.

Sin embargo, no hay que olvidar que a la hora de la verdad, en mitad de una contingencia lo importante es que el plan de continuidad definido funcione, digan lo que digan los números.

Aplicar filtros
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Convocatoria 37ª edición Trofeos Internacionales de la Seguridad
Presenta tu candidatura para la 37ª edición de los Trofeos Internacionales de la Seguridad