Repasando el MTPD (o período máximo tolerable de interrupción)
Acorde con la práctica estándar, las organizaciones determinan sus prioridades y requerimientos para el programa de continuidad del negocio, como parte del proceso de análisis de impacto o business impact analysis (BIA). Desde 2006 se introdujo un concepto para ayudar a determinar cómo debían priorizarse las actividades de las empresas ante un evento de interrupción y bajo qué condiciones estas debían ser recuperadas: el período máximo tolerable de interrupción o maximum tolerable period of disruption (MTPD).
Según la norma internacional ISO 22301:2019, el MTPD es el período de tiempo dentro del cual, si no se pudieran reanudar las actividades, los impactos llegarían a ser inaceptables para la organización; amenazando su supervivencia o haciendo que sus objetivos ya no sean alcanzables. Para poder identificar el MTPD para cada actividad, la organización debe decidir primero cuáles son estos posibles impactos inaceptables; la Guía de Buenas Prácticas del BCI brinda algunos ejemplos:
- los clientes se van a la competencia y la organización ya no puede atraer nuevos clientes;
- la reputación de la organización está tan dañada que las partes interesadas ya no desean seguir asociadas con ella;
- la organización cae (o caerá pronto) en bancarrota, debido a multas, penalidades, pérdida de ingresos, o el gasto de sus reservas financieras;
- la presión externa por parte de las partes interesadas obliga un cambio drástico en el liderazgo o la estrategia de la organización.
Usualmente, se utilizan rangos de tiempo para ubicar el MTPD, como lo recomienda el BCI, tal como se muestra en el ejemplo a continuación:
Por su parte, la ISO 22317:2015 plantea utilizar períodos de tiempo, como se muestra en el siguiente ejemplo:
En lugar de identificar el MTPD en un período o rango de tiempo, también se suele ubicar el MTPD en un punto temporal específico, como por ejemplo "a las 2 horas", "a las 4 horas", "a las 8 horas", "a 1 día", "a 3 días", "5 días", "1 semana", "15 días", "1 mes", etc.
Particularmente, yo me inclino por utilizar períodos o rangos de tiempo, ya que es difícil estimar con tanta precisión lo que podría enfrentar la organización en una situación tan compleja.
¿Y qué viene después?
Luego de identificar los MTPD es que se establecen los períodos de tiempo prioritarios para reanudar las actividades interrumpidas a los niveles mínimos aceptables previamente definidos, a lo que se denomina "tiempo objetivo de recuperación" o recovery time objective (RTO) —hasta antes de 2006, el RTO se establecía directamente, sin pasar por el MTPD—. En la línea temporal el RTO para una actividad deberá ubicarse en un punto anterior al MTPD para dicha actividad, a fin de que las capacidades de recuperación a implementar permitan evitar, con una holgura suficiente, impactos inaceptables para la organización.
Fuentes:
Business Continuity Institute. [BCI]. (2018). BCI Good Practice Guidelines—2018 Edition. British National Library. Recuperado de https://www.thebci.org/product/good-practice-guidelines-2018-edition---download.html
International Organization For Standardization. [ISO]. (2019). Security and resilience—Business continuity management systems—Requirements. Recuperado de https://www.iso.org/standard/75106.html
Comentarios
Publicar un comentario