EAFLOW · CASO · SEGUROS
BIA por recorrido del grafo, no por entrevistas y planillas
Una organización líder del sector seguros, con operación en Argentina, validó la fase de Discovery de Continuidad Operativa y Resiliencia sobre el corpus que ya tenía cargado en EAFlow —procesos modernizados, portafolio TI inventariado y catálogo de riesgos y controles migrado—: un BIA preliminar construido por recorrido del Operational Graph, las dependencias proceso ↔ aplicación críticas expuestas como consulta, los riesgos de interrupción anclados al catálogo existente y una línea base RTO / RPO con gaps documentales identificados, antes de comprometer la implementación de BCP, DRP y simulacros.
La validación, sobre datos reales de la operación, mostró que la criticidad se construye sobre datos trazados y no sobre suposiciones: procesos críticos identificados por consulta del grafo, dependencias y riesgos de interrupción conectados, y un reporte de readiness BCM como insumo para decidir el alcance y el cronograma de la implementación.
El desafío
Las organizaciones del sector seguros con función de continuidad operativa enfrentan el mismo patrón cada vez que arrancan o renuevan su programa BCM. El problema no es la falta de voluntad: es que el BIA arranca desde cero y el contexto operacional vive disperso.
- El Business Impact Analysis se construye con entrevistas, planillas y consolidación manual. Cada ciclo repite el esfuerzo porque el resultado anterior quedó en un documento estático.
- Los procesos críticos se listan en una planilla, pero la lista no aparece junto a las aplicaciones que los soportan, ni a los riesgos de interrupción que aplican, ni a los planes que cubren cada nodo.
- Las dependencias se mapean en silos: TI mantiene su mapa de aplicaciones, Operaciones su mapa de procesos críticos, Riesgos su mapa de riesgos de continuidad, y no se cruzan.
- Los objetivos RTO / RPO se acuerdan en comité y quedan separados de la arquitectura operativa real; cualquier cambio obliga a re-revisar a mano si siguen siendo coherentes.
- Los planes BCP / DRP viven como documentos sueltos en una carpeta, y la evidencia de simulacros queda en actas y correos, con trazabilidad que se reconstruye en cada auditoría.
- Comprometer un programa BCM completo de golpe, sin haber identificado primero los procesos críticos, las dependencias y los gaps reales, invita a sobreescopear el proyecto.
La continuidad no se sostiene con planillas en blanco. Se sostiene con un BIA construido sobre el corpus que la organización ya tiene cargado y conectado al grafo.
La solución EAFlow
Continuidad Operativa y Resiliencia es una solución transversal del área Riesgo, Control y Continuidad, construida sobre la capa común Operational Graph de EAFlow Platform. Esta validación cubrió su fase de Discovery: un Discovery acotado que aprovecha el corpus operacional ya cargado por el cliente para construir la base de continuidad antes de comprometer la implementación posterior. La validación cubrió, sobre el corpus de la operación del cliente, el escenario de Discovery de continuidad:
- BIA preliminar por recorrido del grafo. El Discovery construye el Business Impact Analysis recorriendo los procesos del corpus modernizado, sus aplicaciones soportadoras y los riesgos de interrupción del catálogo ya cargado. La criticidad se identifica sobre datos trazados y se valida con el equipo de continuidad —no se inventa desde cero.
- Dependencias proceso ↔ aplicación críticas visibles. El recorrido expone qué aplicaciones soportan qué procesos críticos y qué riesgos de interrupción aplican sobre cada nodo. La información estaba dispersa; el Discovery la consolida como base navegable.
- Riesgos de interrupción anclados al catálogo existente. Los riesgos del catálogo de aseguramiento ya migrado al grafo se filtran por los que aplican sobre continuidad, y se conectan a los procesos críticos y aplicaciones identificadas. La conexión es preliminar; su productización vinculante queda para la implementación.
- Línea base RTO / RPO por proceso crítico. Objetivos preliminares de tiempo y punto de recuperación quedan registrados contra los procesos identificados como críticos. La línea base es punto de partida para validación con el equipo, no compromiso contractual.
- Gaps documentales identificados. El Discovery mapea qué BCP, DRP, procedimientos de recuperación, contactos y evidencias de simulacro existen en el repositorio documental del cliente, y cuáles faltan. La brecha entre estado actual y cobertura completa queda explícita.
- Reporte de readiness BCM. El Discovery cierra con un reporte ejecutivo —procesos críticos, dependencias mapeadas, riesgos de interrupción conectados, gaps documentales y línea base RTO / RPO— como insumo para que el sponsor decida el alcance y el cronograma de la implementación.
- Tres roles del modelo de continuidad declarados. El Discovery declara los tres roles que operan el modelo en la implementación (Responsable de continuidad, Responsable de riesgo y gobierno TI, Equipo operativo de TI) y cómo cada uno consume el grafo de continuidad. No los activa; los declara.
El Discovery es asistido, no automático: identifica candidatos a procesos críticos por recorrido del grafo y los valida con el equipo. El nivel real de acceso a cada corpus y al repositorio documental se confirma por madurez y validación técnica; cuando un corpus no está cargado, el Discovery declara el gap y propone su carga previa o paralela.
Qué se validó
La experiencia se ejecutó sobre el corpus operacional que el cliente ya tenía cargado: procesos modernizados, portafolio TI inventariado y catálogo de riesgos y controles migrado. El equipo recorrió el Discovery completo: identificación de procesos críticos por recorrido del grafo, mapeo de dependencias proceso ↔ aplicación, filtro de riesgos de interrupción sobre el catálogo existente con conexión preliminar a proceso y aplicación, registro de la línea base RTO / RPO por proceso crítico, inventario de los planes existentes en el repositorio documental e identificación explícita de los gaps. El cierre fue un reporte de readiness BCM con alcance recomendado y roadmap por fases.
Capacidades demostradas
- Operational Graph como base común de contexto de continuidad.
- BIA preliminar por recorrido del grafo, con criticidad sobre datos trazados validada por el equipo.
- Dependencias proceso ↔ aplicación críticas mapeadas sobre el inventario del cliente.
- Riesgos de interrupción filtrados desde el catálogo de riesgos y controles existente y conectados de forma preliminar a proceso y aplicación.
- Controles preventivos y de recuperación referenciados al riesgo de interrupción.
- Línea base RTO / RPO preliminar por proceso crítico, como punto de partida no contractual.
- Inventario de BCP / DRP / procedimientos / evidencias existentes y reporte de gaps documentales.
- Tres roles del modelo de continuidad declarados y reporte de readiness BCM entregado.
Resultado observado
El BIA pasó de "construirse desde cero con entrevistas y planillas" a construirse por recorrido del grafo, con la criticidad anclada a datos trazados y validada con el equipo. Las dependencias proceso ↔ aplicación, antes dispersas en silos, quedaron visibles como consulta del grafo; los riesgos de interrupción del catálogo existente quedaron conectados a los procesos y aplicaciones; y la línea base RTO / RPO con los gaps documentales quedó registrada como punto de partida.
La validación confirmó que el Discovery se ejecuta sobre la operación real del cliente y entrega un reporte de readiness BCM accionable, dejando la decisión de alcance y cronograma de la implementación —BIA vinculante, BCP / DRP conectados, simulacros, dashboard de resiliencia— en manos del sponsor, con el Discovery como evidencia y no como compromiso forzado.
Por qué importa para otras organizaciones
El patrón se repite en organizaciones del sector seguros que arrancan o renuevan su programa BCM: el BIA empieza en blanco, los procesos críticos viven sin contexto conectado, las dependencias están en silos y los planes son documentos sueltos, mientras comprometer un programa completo de golpe se percibe como riesgoso. Demostrar, sobre la operación del cliente, que un BIA preliminar se construye por recorrido del corpus ya cargado —con dependencias, riesgos de interrupción y gaps identificados— convierte una decisión de "todo o nada" en una decisión informada por evidencia.
Empezar por un Discovery de continuidad sobre el grafo existente es además una puerta de entrada de bajo riesgo: el mismo Operational Graph que sostiene los procesos, el inventario TI y el catálogo de riesgos sostiene después el modelo de continuidad posterior.
Cómo escala — soluciones relacionadas
La base de continuidad levantada en el Discovery se reutiliza sobre el mismo Operational Graph:
- Hacia la implementación posterior del acelerador Continuidad Operativa y Resiliencia
La fase siguiente natural —BIA vinculante, RTO / RPO acordados, BCP / DRP conectados a sus procesos y activos, registro de simulacros con evidencia, dashboard ejecutivo de resiliencia, flujos de alerta del gobierno de continuidad y transferencia de propiedad al equipo.
- Hacia riesgo y control completo Risk & Control Assurance
Conectar los riesgos de interrupción al catálogo completo —con pruebas, hallazgos, planes de acción y evidencia— cierra la pista riesgo-control-evidencia-plan sobre el grafo común.
- Hacia el conocimiento de procesos Process Knowledge
Cuando el corpus modernizado de procesos gana profundidad de roles, aplicaciones y documentos, el BIA gana contexto operacional.
- Hacia el inventario de aplicaciones Inventario Vivo TI
La profundización del portafolio TI —con vendors, criticidad, dependencias e integraciones— refina el modelo de dependencias y de criticidad funcional de la continuidad.
- Hacia documentos vivos Document Governance & Evidence
Cuando los BCP / DRP, procedimientos y evidencias entran en gobierno documental con flujo de aprobación y publicación trazable, el modelo de continuidad gana control sobre la vigencia de sus planes.