Ir al contenido principal

Análisis de Impacto en el Negocio (BIA)

👉 Esta actividad te ayuda a cumplir los siguientes controles:

  • ISO 22301: 8.1, 8.2.2

  • ISO 27001: A.5.29, A.5.30, A.8.14

¿Para qué me sirve esta actividad? 📚

Esta actividad te sirve para identificar los procesos o actividades prioritarias de tu empresa, determinar qué recursos necesitan para operar, y evaluar qué tipo de impacto (operacional, económico, reputacional) tendrías si estos procesos presentan fallas o interrupciones a lo largo del tiempo.

Al realizar este análisis, podrás establecer las estrategias de prevención, respuesta y recuperación necesarias para garantizar la continuidad de tu negocio y así, asegurar que tu documentación del sistema de gestión (SGSI y/o SGCN) sean lo más completos posibles.

¿Qué tengo que hacer? 🚀

Para crear tu Análisis de Impacto en el Negocio (BIA) te recomendamos comenzar leyendo este artículo y el template que te proporcionamos en su totalidad para conocer de qué va y comprender todo lo que abarca.

Dentro del template encontrarás un formato estructurado (en columnas) que debes llenar con la información de tu organización. A continuación te enlistamos todos los temas y secciones que encontrarás en el template y que deberás trabajar y adaptar al contexto de tu empresa.

  • Identificación y descripción del proceso:

    • Debes asignar un ID único a los procesos que incluyas, nombrarlos de modo que sea fácil su identificación, y describir brevemente en qué consiste cada uno.

    • Luego, identifica al área o puesto responsable de llevarlos a cabo, de mantenerlos, actualizarlos o cualquier otra acción relacionada a ellos. Así como también debes indicar dónde se realiza, por ejemplo en qué sistema o aplicación.

  • Detalles operativos:

    • Mapea las entradas (qué recursos se necesitan para “activar” el proceso, de qué elementos depende su ejecución) y las salidas (qué entregables resultan de su ejecución, qué se obtiene al llevarlo a cabo) de cada uno de los procesos incluidos.

    • Identifica e indica los usuarios involucrados (clientes, colaboradores, otros).

    • Analiza otros procesos con los que el principal tiene una interferencia o dependencia. ¡Esto te ayudará a tener una visión mucho más amplia de toda la relación operativa de tu empresa!

  • Recursos críticos relacionados al proceso:

    • Personas: Identifica los puestos, áreas o personal crítico necesario.

    • Tecnología / Herramientas: Lista el software, hardware y datos indispensables.

    • Proveedores: Enumera a los terceros esenciales sin los cuales el proceso se detiene.

    • Infraestructura: Define si requieres una oficina, almacén central, centros de datos, etcétera.

  • Riesgos e impacto en el tiempo:

    • Identifica todos los riesgos asociados al proceso. Puedes tener riesgos de seguridad de la información, de continuidad del negocio, incluso de privacidad de datos, relacionados al uso de inteligencia artificial, entre otros. Si ya realizaste tu evaluación de riesgos, toma como base principal tu Matriz de Riesgos / Módulo de Riesgos.

    • Define el(los) tipo(s) del impacto (operacional, económico, reputacional) asociados, pensando en qué pasaría si un incidente o escenario de desastre ocurre, afectando directamente a dicho proceso.

  • MTPD (Máximo Periodo Tolerable):

    • El MTPD (Maximum Tolerable Period of Disruption, por sus siglas en inglés) o Periodo Máximo Tolerable de Interrupción es el tiempo límite absoluto que un proceso crítico de negocio puede estar inactivo antes de que las consecuencias de no reanudarlo sean inaceptables o catastróficas para la organización.

    • Es súper importante saber que esta métrica es diferente al RTO (Recovery Time Objective), el cual es el tiempo que la organización tarda en recuperarse.

    • El RTO siempre debe ser menor (o a lo sumo igual) al MTPD.

  • Estrategias y análisis costo-beneficio:

    • Detalla las soluciones técnicas y operativas, considerando las 3 etapas más importantes: prevención, respuesta y recuperación.

    • Justifica financieramente la estrategia elegida frente al impacto, es decir realiza el análisis costo-beneficio para entender cuál sería el costo de implementar la estrategia, y cuál sería el costo / pérdida si se materializa el escenario de desastre.

💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:

  • Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).

  • Posteriormente, debes subir la evidencia de su aprobación.

    • Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.

    • Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.

  • Y por último, debes subir la evidencia de su comunicación.

    • Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.

Recomendaciones ✅

  • Recuerda que debes adaptar el documento a tus operaciones reales, ya que esto es esencial para generar evidencias válidas de cumplimiento durante auditorías.

  • Este análisis debe considerar las necesidades y limitaciones específicas de tu empresa.

  • La alta dirección y/o el Comité de Continuidad del Negocio debería participar y expresar en todo momento su compromiso con la continuidad y la seguridad, por lo que es vital involucrarlos en la generación, aprobación y comunicación de este documento.

¡Califica este artículo con 😃 si ayudó a resolver tus dudas! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.

Artículos relacionados
34. Plan de Continuidad
Informe del Impacto Ético y Social de los Sistemas de IA
Metodología de Gestión de Riesgos
Plan de Continuidad
Procedimiento de Evaluación de Impacto a la Privacidad
¿Ha quedado contestada tu pregunta?