Analisis De Impacto En El Negocio

ANÁLISIS DE IMPACTO SOBRE EL NEGOCIO (BIA)

El propósito fundamental del Análisis de Impacto sobre el negocio, conocido más comúnmente como BIA, (Business Impact Análisis) es determinar y entender qué procesos son esenciales para la continuidad de las operaciones y calcular su posible impacto, nos permite identificar las áreas que sufrirían las pérdidas financieras y operacionales más grandes y estima el tiempo que la compañía puede tolerar en caso de un desastre.

Conociendo el impacto al negocio, se pueden dimensionar las medidas de prevención y recuperación, de acuerdo a las necesidades de la organización, evitando la sobre inversión o la subinversión. El BIA ayuda a clasificar los procesos y equipos claves del negocio en función de su criticidad y lo que es más importante: establecer la prioridad de su recuperación en orden secuencial y establecer tiempo estimado de restauración. Por ejemplo:

CRÍTICOS

• Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas.

• No pueden reemplazarse por métodos manuales.

• Muy baja tolerancia a interrupciones.

VITALES

• Pueden realizarse manualmente por un periodo breve.

• Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo determinado (5 ó menos días, por ejemplo).

SENSITIVOS

• Funciones que pueden realizarse manualmente por un periodo prolongado a un costo tolerable.

• El proceso manual puede ser complicado y requeriría de personal adicional.

NO CRITICOS

• Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.

Los procesos serán críticos, dependiendo de la organización de que se trate, por ejemplo:

• Banca: Tarjetas de débito, mesa de dinero

• Aerolíneas: Reservaciones, plan de vuelos

• Manufactura: Inventarios, Control de la producción

• Servicios: Facturación, cobranza

La infraestructura crítica será entonces, la que se utiliza para la operación de un proceso crítico, por ejemplo:

Proceso Facturación

Infraestructura:

- Sistema de Facturación

- Servidor de aplicación de Facturación

- Router para comunicar con entidades externas

- Switch de red local

Una vez identificada la infraestructura crítica, se hace un análisis de sus vulnerabilidades.

Se pueden encontrar vulnerabilidades como:

• Servidor de aplicación no tiene respaldo.

• No se tiene respaldo de información off-site

• Solamente una persona conoce todos los procedimientos

• El switch de red local no tiene respaldo

Conociendo las vulnerabilidades, se puede hacer un análisis para identificar la probabilidad y el impacto (severidad) de posibles amenazas. Las amenazas se pueden agrupar por grupos de impacto, por localidad, por sitio estratégico o según se requiera para obtener conclusiones adecuadas.

Asimismo, se estima el tiempo durante el cual un proceso puede estar sin operar, antes de sufrir pérdidas considerables

Con base en lo anterior, se fija un Tiempo de Recuperación Objetivo, RTO por sus siglas en inglés, que también es conocido como MTD (maximum tolerable downtime).

Otro factor que es muy importante conocer es la “frescura” o nivel de actualización que debe tener la información, una vez que se pueda operar el sistema.

Con eso se define el Punto de Recuperación objetivo de la información, RPO, por sus siglas en ingles.

Podemos concluir que, el BIA es una etapa imprescindible para alinear el Plan de Recuperación de Desastres, DRP, con los objetivos de la organización.

...