Descubre los contenidos más relevantes sobre smartlogin

¿Cómo calcular el coste económico de un Desastre de IT y el presupuesto para un DRP?

Escrito por Ignacio Gilart Iglesias | Oct 5, 2016 3:15:27 AM

Justificar la creación de un plan de recuperación de desastres (DRP) y la eventual contratación e implementación de una solución tecnológica específica requiere el cálculo del coste económico que un incidente grave de IT puede ocasionar en tu empresa.
La cifra resultante será la referencia a la hora de determinar cuál es el presupuesto que os podéis permitir en dicha solución de recuperación de desastres.
Pero antes de realizar este cálculo, es importante que también sepas qué factores y fases has de tener en cuenta a la hora de diseñar el Plan de Recuperación ante Desastres para tu organización. Si aun no tienes conciencia sobre ello, te invito a que eches un vistazo al post. Así tendrás referencias más claras acerca de lo que implica la implementación de este proceso.
 
No pretendo ofrecerte una guía exhaustiva para calcular con exactitud el impacto que un hipotético incidente de IT pudiera tener sobre tu negocio. Me temo que eso me llevaría mucho más tiempo que el invertido en escribir este post.
En su lugar, mi intención es proporcionarte unas guías básicas para hacer un cálculo lo suficientemente aproximado que te permita tomar decisiones ejecutivas y concienciar a tu consejo de administración acerca de la importancia de este recurso y de la conveniencia de la inversión.
Éstas son las 2 variables iniciales que necesitas conocer:

  • Costes económicos generados por un incidente o desastre de IT.
  • Probabilidades de que tenga lugar un incidente o desastre de IT.

El presupuesto para vuestro DRP será el equivalente a multiplicar los costes que genere un desastre de IT por las probabilidades de que éste tenga lugar.

  • Presupuesto estimado para un DRP = Costes del Desastre de IT x Probabilidades del Desastre de IT

 
Si te parece demasiado engorroso y no consideras conveniente dedicar los recursos necesarios para esta tarea, como muestra orientativa acerca de la importancia de la definición de un DRP, te invito a que leas caso de éxito de Santillana. Conocerás cómo la implantación de este importante proceso fue uno de los factores más valorados por la editorial a la hora de decantarse por su actual solución de almacenamiento y backup.

¿Cuáles son las probabilidades de sufrir un incidente o desastre de IT?

Desde mi experiencia, puedo decirte que éste es el factor que más quebraderos de cabeza te puede suponer, al menos, si quieres ser mínimamente riguroso.
Presentarte un marco base no tiene demasiado sentido, dado que cada organización cuenta con factores específicos que incrementan o reducen el riesgo de sufrir un incidente. Éstos son, tan sólo, algunos factores que has de tener en cuenta:

  • Nivel de formación y experiencia del personal interno.
  • Nº de dispositivos utilizados en modalidad BYOD en la organización así como la estrategia de accesos y permisos definida para ellos.
  • Ubicación geográfica de las instalaciones.
  • Seguridad y estabilidad geopolítica de la región.
  • Calidad de la infraestructura local de telecomunicaciones.
  • Fiabilidad de los suministradores de servicios relacionados con IT.
  • Nº de competidores.
  • Importancia y valor de la información atesorada y nivel de protección de la misma.
  • Proximidad de instalaciones con vertederos de residuos peligrosos.

Si quieres simplificar tus cálculos, te sugiero recurrir a las estadísticas que incluí en el artículo “Las 6 principales causas de un Desastre de IT”.
Buena parte de los datos fueron tomados del informe “Global Disaster Recovery Preparedness”, publicado por la consultora Forrester en el año 2013.

¿Cuáles son los costes económicos de un incidente o desastre de IT?

El Aberdeen Group ha cifrado en más de $400.000 el coste medio de la interrupción del servicio de una organización como consecuencia de un incidente de IT.
IDC estimó en el año 2015 que las caídas del servicio en las organizaciones generan una pérdida media de entre $82.000 y $256.000 por cada incidente.
En este caso, es necesario distinguir entre los costes fijos de tu empresa, la pérdida de ingresos ocasionada por la interrupción del servicio, y los costes ligados a la detección del problema y restauración de dicho servicio.

Pérdida por costes fijos

Este elemento se refiere al conjunto de costes en los que tu empresa incurre con independencia de que la actividad del negocio esté detenida o no. Dependiendo de si la gravedad del incidente obliga a detener completamente la actividad, estos costes supondrán una pérdida total o parcial.
Cada negocio, tiene sus particularidades. No obstante, éstos suelen ser los dos factores principales:

  • Salario de los empleados cuya actividad se vea afectada o interrumpida por el incidente.
  • Suministros permanentes para aquellos servicios de IT que se han visto interrumpidos.

Multiplica el coste por hora de cada uno de estos factores por el número de horas durante el cual vuestros sistemas permanecen caídos, y tendrás una cifra bastante aproximada de la pérdida generada en costes fijos. La fórmula simplificada quedaría así:

  • Pérdida por costes fijos= Nº de horas de caída del servicio x (Coste de mano de obra/hora + Coste de suministros/hora)

 

Pérdida de ingresos previstos

Una forma sencilla de calcular la pérdida de los ingresos previstos es multiplicar el número de horas de interrupción del servicio por la media de ingresos que tu empresa genera cada hora.
Puedes tomar como referencia los ingresos anuales y dividirlos entre el número de horas que tu negocio está activo a lo largo del año. En este caso, la fórmula sería:

  • Pérdida de ingresos previstos= Nº de horas de caída del servicio x (Ingresos anuales/Nº de horas de actividad/año)

 

Pérdida de oportunidad por clientes potenciales perdidos

El cálculo de la pérdida de oportunidad es mucho más impreciso. No obstante, te sugiero multiplicar las expectativas de crecimiento del negocio por los ingresos anuales y dividir el resultado entre el número de horas que tu negocio está activo a lo largo del año. Una vez conozcas esta cifra, multiplícala por el número de horas de interrupción del servicio.

  • Oportunidades generadas/hora= (Ingresos anuales x Estimaciones de crecimiento)/ Nº de horas de actividad/año.
  • Pérdida de oportunidad por clientes potenciales perdidos= Nº de horas de caída del servicio x Oportunidades generadas/hora

¿Qué hay del daño ocasionado a la imagen y reputación de la empresa?

La pérdida de credibilidad que una empresa puede sufrir como consecuencia de no ser capaz de responder eficazmente a un incidente o desastre de IT es, probablemente, el perjuicio económico más difícil de cuantificar.
De hecho, depende tanto de la coyuntura que rodea al incidente, como del énfasis y la reacción que tiene la empresa a la hora de reiniciar su actividad y restaurar su imagen profesional en el sector.
Lo cierto es que el impacto económico real sólo puede conocerse con el paso del tiempo.
 

Costes no recurrentes ligados a la detección del problema y la restauración del servicio

De acuerdo con un informe publicado por el Instituto Ponemon en el año 2013, estos costes pueden dividirse en:

  • Coste de la detección e identificación del problema.
  • Costes generados para contener o evitar que el problema se agrave.
  • Costes ligados a las actividades de restauración de los sistemas.
  • Costes de reposición o reparación del equipamiento.
  • Pérdida de productividad del departamento de IT para dedicar recursos a la resolución del incidente.

Conclusión

Si quisiéramos resumir este proceso podríamos plantear estas dos sencillas fórmulas:

  • Costes de un incidente o desastre de IT= (Pérdida por costes fijos x Nº de horas de caída del servicio) + (Pérdida de ingresos previstos x Nº de horas de caída del servicio) + (Pérdida de oportunidad por clientes potenciales perdidos x Nº de horas de caída del servicio) + Costes no recurrentes ligados a la detección del problema y la restauración del servicio
  • Presupuesto estimado para un DRP= Probabilidad de sufrir un incidente o desastre de IT x Costes de un incidente o desastre de IT.

¿Es éste un método infalible y preciso para calcular los costes de un desastre de IT?
No hay verdades universales en este sentido, pero si puede darte una visión bastante aproximada y útil. Lo que quiero conseguir con este post es ayudarte a contar con información más precisa acerca de los riesgos y perjuicios económicos ligados a las tecnologías de la información, para que puedas tomar decisiones más eficaces en el área de la prevención.
Espero que te haya resultado útil.
 

Esquema:
Pérdida por costes fijos x Nº de horas de caída del servicio
+         Pérdida de ingresos previstos x Nº de horas de caída del servicio
+         Pérdida de oportunidad por clientes potenciales perdidos x Nº de horas de caída del servicio
+         Costes no recurrentes ligados a la detección del problema y la restauración del servicio
=         Costes de un incidente o desastre de IT  
Quizá también te interese: