BIA

El acrónimo de BIA corresponde con Business Impact Analysis, bajo la traducción Análisis de Impacto en el Negocio.

Un BIA se realiza dentro de las actividades de un Sistema de Gestión de Continuidad de Negocio (SGCN). Su definición formal es: “Proceso de análisis del impacto en el tiempo de una interrupción en la organización” (ISO 22301:2019, 3 Terms and definitions, 3.5).

En un BIA se analizan los procesos de negocio de la organización para conocer qué impacto se produce en caso de que ocurra un incidente que cause la interrupción de estos procesos. El objetivo es identificar cuáles son los procesos más críticos para la empresa.

La continuidad de negocio se debe centrar en aquellos procesos en los que la disponibilidad es vital, es decir, en caso de ser interrumpidos, el impacto que se ocasiona para la organización puede ser no asumible en un espacio corto de tiempo.

Por ejemplo, no tiene la misma criticidad el servicio del portal web de una entidad de venta de productos por Internet, que debe funcionar 24×7, que el servicio de marketing y publicidad de una compañía de bebidas, cuya entrega de resultados no es continua.

El BIA se realiza para todos los procesos de la empresa, utilizando una metodología común, para así poder comparar los resultados y clasificarlos por criticidad.

¿Cómo se hace un BIA?

Evidentemente, no hay una forma única y válida que sirva para cualquier organización. Cada una debe definir su metodología.

Hay que tener en cuenta los diferentes tipos de impactos que se pueden producir como consecuencia de la interrupción de un proceso, algunos de ellos pueden ser los siguientes:

  • Impacto operacional, que impiden obtener el producto o resultado del servicio al que pertenece el proceso.
  • Impacto económico por costes adicionales, pérdida de ingresos, penalizaciones, etc.
  • Impacto de reputación, por pérdida de imagen de marca al no poder prestar el servicio de forma normal a los clientes.
  • Impacto legal y contractual, al interrumpir un proceso concreto puede que la organización este incumpliendo algún requisito legal o contractual que pueda tener consecuencias graves.

Cada organización debe establecer los impactos a considerar y la forma y criterios en la que debe ser considerado cada uno.

El siguiente factor a considerar es el tiempo. Habitualmente se utiliza una escala temporal para comparar el impacto en diferentes intervalos de interrupción. Es posible que un proceso tenga un alto impacto desde el primer momento en que se produce la interrupción, como el del ejemplo de la tienda online mencionado anteriormente, pero habrá otros procesos cuyo impacto no será alto hasta que no haya transcurrido un cierto espacio de tiempo, como 24 horas o incluso varios días.

La escala temporal a utilizar, debe ser igualmente establecida de forma particular por cada organización. Pueden ser más o menos hitos temporales, en función del tipo de negocio.

Los procesos con mayor impacto en el menor tiempo de interrupción, serán los más críticos para la organización. Ésta debe ser la salida o el resultado a obtener del BIA.

Recomendamos utilizar un software específico de BIA, que facilite la realización del mismo, así como la organización y el proceso de cálculo de todos los datos que contiene este tipo de análisis.

¿Quién hace el BIA?

El responsable de continuidad de negocio de la organización debe definir la metodología a utilizar. Ésta debe ser validada y aprobada por el estamento competente que se haya establecido en la organización como la máxima autoridad en materia de continuidad de negocio. Normalmente, es un comité con representación de los principales departamentos y con presencia de la dirección para que tenga la entidad y el valor adecuados.

Una vez, que se tiene la metodología definida, y los procesos de la organización identificados. Se debe contar con la participación de los departamentos involucrados para la toma de datos o valoración que corresponda. En definitiva, son los departamentos que llevan a cabo los procesos los que conocen en detalle las consecuencias que se pueden producir en caso de interrupción.

El resultado del BIA debe ser validado y consensuado por la dirección de la organización o por el comité o estamento que corresponda.

« Índice del glosario

Calendario Ciberseguridad /24

Pídelo
LIVE WEBINAR | 1/2/2024

Cómo proteger tu Active Directory de ataques Ransomware con Tenable

Accede al workshop

Alertas de seguridad

Mantente informado, recíbelas en tu email
Consulta las últimas alertas