El análisis de impacto al negocio (Business Impact Analysis o BIA por sus siglas en inglés) es otro elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre.
A diferencia de una evaluación de riesgos, que se enfoca en cómo podría verse afectada una organización a través de la identificación, análisis y valoración de amenazas de seguridad con base en su impacto sobre los activos críticos y la probabilidad de ocurrencia, el BIA es un proceso más especializado en la identificación de los tipos de impacto, orientado en conocer qué podría verse afectado y las consecuencias sobre los procesos de negocio.
También, el BIA puede ser considerado como una fase a ejecutar durante el desarrollo de un Plan de Recuperación ante Desastres (DRP), y por lo tanto de un Plan de Continuidad del Negocio (BCP), debido a que permite a las organizaciones estimar la magnitud del impacto operacional y financiero asociado a una interrupción. En esta entrega vamos revisar las características del BIA y el proceso asociado a su desarrollo.
Características del análisis de impacto
El Business Impact Analysis tiene dos objetivos principales; el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una organización. Una vez generado ese punto de partida, el segundo se refiere a la priorización de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.
El BIA está directamente relacionado con aquellos procesos que poseen un tiempo crítico para su operación, porque si bien todos los procesos sujetos a un tiempo crítico son de misión crítica, no todos los procesos de misión crítica están relacionados con un tiempo crítico para su ejecución.
De manera adicional, el desarrollo de este análisis permite estimar los recursos necesarios para los procesos identificados, de manera especial para aquellos que representan mayor sensibilidad con relación al tiempo y el impacto.
Para ello se define el Tiempo Objetivo de Recuperación (RTO por sus siglas en inglés), que es el período permitido para la recuperación de una función o recurso de negocio a un nivel aceptable luego de una interrupción o desastre, y el Punto Objetivo de Recuperación (RPO) que describe la antigüedad máxima de los datos para su restauración, es decir, la tolerancia que el negocio puede permitir para operar con datos de respaldo, por lo que el RPO estará en función de las actividades primordiales de una organización.
Consideraciones durante el desarrollo del BIA
En general, los activos de soporte en las empresas están relacionados con las instalaciones, infraestructura de TI, software o hardware, entre otros, mismos que en ocasiones se vuelven indispensables para una actividad específica.
En este sentido, la primera actividad para el desarrollo del análisis de impacto consiste en identificar los procesos y actividades relacionadas directamente con la misión y objetivos de la organización, su interacción con los activos de soporte, así como sus dependencias e insumos.
Cuando se tiene esta información, se definen los valores para el RTO y RPO para cada una de las actividades, funciones o procesos considerados, así como otros elementos, por ejemplo el tiempo de inactividad máximo tolerable (Maximun Tolerable Downtime, MTD) o la interrupción máxima tolerable (Maximum Tolerable Outage, MTO), es decir, el período máximo de no disponibilidad para las actividades, activos o procesos, antes de que la organización deje de operar.
De forma paralela, es necesario también identificar los recursos y actividades requeridas para establecer las operaciones a un nivel de aceptable, en función del periodo de interrupción definido por las características y necesidades de la empresa.
Como última actividad, se considera la generación de un informe que permita documentar todos los resultados obtenidos en los pasos anteriores, que proporcione información útil para la toma de decisiones de la alta dirección.
Ventajas de la realización de un análisis de impacto
El primer beneficio de la ejecución de un Business Impact Analysis es que puede ser utilizado como una de las fases iniciales para el desarrollo posterior de un DRP y en consecuencia de un BCP, al tiempo que permite identificar los recursos más importantes de una organización y el impacto que podría representar en caso de algún incidente o interrupción mayor.
Por otro lado, también puede ser utilizado como un elemento que complemente el desarrollo de una evaluación de riesgos, ya que se enfoca en la priorización de los procesos de negocio y en el impacto sobre éstos. En este punto, es importante mencionar que la evaluación de riesgos utiliza esta variable (impacto) y la probabilidad de ocurrencia de la materialización de una amenaza para llevar a cabo la valoración.
Finalmente, contribuye a mejorar el entendimiento sobre las afectaciones a la organización, así como de la manera de responder ante las mismas, por lo que también está relacionado con el plan de respuesta a incidentes. De esta forma, podemos observar su relación con otros elementos proactivos de seguridad de la información y las ventajas de su aplicación.