Gestión de la Continuidad

del Negocio
Semana 04 – Análisis de Impacto al Negocio
 LOGRO DE APRENDIZAJE DE LA SESIÓN

Identificar los impactos al negocio y los requerimientos de recuperación del

negocio dentro de una organización empresarial.

Datos/Observaciones
¿Qué es el Análisis de Impacto de Negocio?
El Análisis de Impacto de Negocio o del inglés, Business Impact
Analysis (BIA), es un proceso sistemático para determinar y
evaluar los efectos de cualquier imprevisto que pueda afectar a
la continuidad del negocio.

Dicho de otro modo, es un análisis de las posibles consecuencias

sobre las operaciones comerciales críticas, accidentes o
emergencias, con objeto de elaborar un plan de respuesta que
permita la continuidad del negocio y la seguridad de la información.

Así, un Análisis de Impacto de Negocio se torna un componente

esencial del plan de continuidad comercial de cualquier
organización.
¿Qué es el Análisis de Impacto de Negocio?
En este sentido, podemos mencionar dos componentes básicos para el
Análisis de Impacto de Negocio:
• Componente exploratorio, para revelar cualquier vulnerabilidad.
• Un componente de planificación, para desarrollar estrategias que
minimicen el riesgo.

Como resultado, se obtiene un informe de Análisis de Impacto de Negocio,

que describe los riesgos potenciales y específicos de la organización.

Uno de los supuestos básicos que hay detrás del Análisis de Impacto de
Negocio, es que cada elemento que forma parte de la
organización, depende del funcionamiento continuo de todos los
demás componentes.
¿Qué es el Análisis de Impacto de Negocio?
No obstante, algunos son más vulnerables que otros y requieren
una mayor asignación de fondos después de un desastre.

Por ejemplo, un hotel puede continuar, más o menos con

normalidad, si la cafetería tiene que cerrar, pero la actividad se
detendría casi por completo si el sistema de información fallara.

Por lo tanto, un Análisis de Impacto de Negocio se diseña con

objeto de conocer las prioridades, identificando los objetivos
de tiempo de recuperación o RTO y los objetivos de punto de
recuperación o RPO, con fase previa a la selección de una
estrategia y desarrollo de planes.
 Características del Análisis de Impacto

El Business Impact Analysis tiene dos objetivos principales; el primero de

ellos consiste en proveer una base para identificar los procesos críticos
para la operación de una organización. Una vez generado ese punto de
partida, el segundo se refiere a la priorización de ese conjunto de
procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será
la prioridad.

El BIA está directamente relacionado con aquellos procesos que poseen

un tiempo crítico para su operación, porque si bien todos los procesos
sujetos a un tiempo crítico son de misión crítica, no todos los procesos de
misión crítica están relacionados con un tiempo crítico para su ejecución.
 Características del Análisis de Impacto

De manera adicional, el desarrollo de este análisis permite estimar

los recursos necesarios para los procesos identificados, de manera
especial para aquellos que representan mayor sensibilidad con relación al
tiempo y el impacto.

Para ello se define el Tiempo Objetivo de Recuperación (RTO por sus

siglas en inglés), que es el período permitido para la recuperación de una
función o recurso de negocio a un nivel aceptable luego de una interrupción
o desastre, y el Punto Objetivo de Recuperación (RPO) que describe la
antigüedad máxima de los datos para su restauración, es decir, la tolerancia
que el negocio puede permitir para operar con datos de respaldo, por lo que
el RPO estará en función de las actividades primordiales de una
organización.
 Consideraciones Durante el Desarrollo del BIA

En general, los activos de soporte en las empresas están relacionados con

las instalaciones, infraestructura de TI, software o hardware, entre otros,
mismos que en ocasiones se vuelven indispensables para una actividad
específica.

En este sentido, la primera actividad para el desarrollo del análisis de

impacto consiste en identificar los procesos y actividades relacionadas
directamente con la misión y objetivos de la organización,
su interacción con los activos de soporte, así como sus dependencias e
insumos.
 Consideraciones Durante el Desarrollo del BIA

Cuando se tiene esta información, se definen los valores para el RTO y

RPO para cada una de las actividades, funciones o procesos considerados,
así como otros elementos, por ejemplo el tiempo de inactividad máximo
tolerable (Maximun Tolerable Downtime, MTD) o la interrupción máxima
tolerable (Maximum Tolerable Outage, MTO), es decir, el período máximo
de no disponibilidad para las actividades, activos o procesos, antes de
que la organización deje de operar.

De forma paralela, es necesario también identificar los recursos y

actividades requeridas para establecer las operaciones a un nivel de
aceptable, en función del periodo de interrupción definido por las
características y necesidades de la empresa.
 Consideraciones Durante el Desarrollo del BIA

Como última actividad, se considera la generación de un informe que

permita documentar todos los resultados obtenidos en los pasos anteriores,
que proporcione información útil para la toma de decisiones de la alta
dirección.
 Ventajas de la Realización de un Análisis de Impacto

El primer beneficio de la ejecución de un Business Impact Analysis es que

puede ser utilizado como una de las fases iniciales para el desarrollo
posterior de un DRP y en consecuencia de un BCP, al tiempo que permite
identificar los recursos más importantes de una organización y el impacto
que podría representar en caso de algún incidente o interrupción mayor.

Por otro lado, también puede ser utilizado como un elemento

que complemente el desarrollo de una evaluación de riesgos, ya que se
enfoca en la priorización de los procesos de negocio y en el impacto sobre
éstos. En este punto, es importante mencionar que la evaluación de riesgos
utiliza esta variable (impacto) y la probabilidad de ocurrencia de la
materialización de una amenaza para llevar a cabo la valoración.
 Ventajas de la Realización de un Análisis de Impacto

Finalmente, contribuye a mejorar el entendimiento sobre las afectaciones a

la organización, así como de la manera de responder ante las mismas, por
lo que también está relacionado con el plan de respuesta a incidentes. De
esta forma, podemos observar su relación con otros elementos proactivos
de seguridad de la información y las ventajas de su aplicación.
 MÉTODOS PARA LA OBTENCIÓN DE INFORMACIÓN

Es recomendable que las entidades posean un método estructurado

que facilite la obtención de la información requerida, según (Hiles,
2004), se debe disponer de encuestas, entrevistas y talleres.

• Encuesta: Conjunto de preguntas que se envían a las distintas

entidades de la organización.
• Entrevistas: La información del Análisis de Impacto del Negocio
(BIA), se obtiene personalmente, entrevistando a una o más
personas. La información detallada puede obtenerse creando
preguntas para cada entrevista, de acuerdo a las necesidades de
la organización que hace las preguntas.
• Talleres: Permite a un grupo de personas trabajar de forma
colectiva para que de esta manera se provea de información para
el análisis de impacto del negocio.
 REQUERIMIENTOS DE TIEMPO DE RECUPERACIÓN

Como parte del plan de continuidad del negocio de una organización,

es importante poder definir y entender los requerimientos de tiempo
necesarios para recuperar a las entidades de servicios que han sido
interrumpidos por diferentes motivos dentro de la organización; estos
requerimientos obedecen a varios componentes que hacen referencia
concreta al tiempo disponible en la cual una organización puede
recuperarse oportuna y ordenadamente a las interrupciones en los
servicios e infraestructuras de TI. Los componentes se describen a
continuación:

• MTD (Maximun Tolerable Downtime) o Tiempo Máximo de

Inactividad Tolerable. Espacio de tiempo durante el cual un
proceso puede estar inoperante hasta que la empresa empiece a
tener pérdidas y colapse.
 REQUERIMIENTOS DE TIEMPO DE RECUPERACIÓN

• RTO (Recovery Time Objective) o Tiempo de Recuperación

Objetivo. Es el tiempo transcurrido entre una interrupción y la
recuperación del servicio. Indica el tiempo disponible para
recuperar sistemas y recursos interrumpidos.

• RPO (Recovery Point Objective) o Punto de Recuperación

Objetivo. Es el rango de tolerancia que la entidad puede tener
sobre la pérdida de datos y el evento de desastre.

• WRT (Work Recovery Time): Es el tiempo invertido en buscar

datos perdidos y la realización de reparaciones. Se calcula como el
tiempo entre la recuperación del sistema y la normalización de los
procesos.
 Consejos para realizar un análisis de impacto de
negocios

Tenga en mente los siguientes consejos clave al realizar un análisis de

impacto al negocio:
1. Obtenga el apoyo de la alta dirección. Dada la naturaleza de los BIA, y
el tiempo necesario para la investigación, asegúrese de obtener el apoyo de
la alta dirección de modo que pueda lograr los objetivos de su proyecto.

2. Tome seriamente el proceso del análisis de impacto al

negocio. Aunque el BIA puede tomar mucho tiempo para la recopilación y
análisis de datos, su valor puede ser esencial a medida que desarrolle
planes. Los BIA no tienen que tener docenas de páginas. Simplemente
necesitan la información correcta, y esa información debe ser actual y
precisa.
 Consejos para realizar un análisis de impacto de
negocios

3. No hay estándares formales de BIA. A pesar de los muchos estándares

de continuidad de negocios disponibles en los Estados Unidos, no existe un
estándar formal para el BIA.

4. Manténganlo sencillo. Recolectar la información correcta es

fundamental; la plantilla asociada provee una línea de base para recoger la
información. Si el resumen de una página de un análisis de impacto al
negocio proporciona la información relevante, comparado con uno de
docenas de páginas, ése puede ser perfectamente aceptable.
 Consejos para realizar un análisis de impacto de
negocios

5. Revise los resultados con las unidades de negocio. Una vez que el
plan está completo, revise los hallazgos con los líderes de las unidades de
negocio para asegurarse que sus supuestos son correctos.

6. Sea flexible. La plantilla sugerida en este artículo podría ser demasiado

compleja para algunas organizaciones; siéntase libre de modificarla según
sus necesidades para lograr sus objetivos.
 Ejemplo: Cuestiones Preliminares

Un aspecto importante a tener en cuenta en la elaboración de un BIA son

los tiempos. En este sentido, cobran especial importancia los siguientes:

RTO (Recovery Time Objective): Tiempo de recuperación de las actividades

que hemos identificado bajo unas condiciones mínimas aceptables. Por
ejemplo, supongamos que el Responsable del Departamento de
Administración nos indica que, en caso de que fallara la plataforma que
soporta las aplicaciones para la generación y emisión de la nómina, se
deberían recuperar el servicio en un plazo máximo de 24h. En este caso,
estableceríamos que el RTO asociado a dicho proceso es de 24h.
 Ejemplo: Cuestiones Preliminares

MTD (Maximum Tolerable Downtime): Tiempo máximo tolerable de caída el cual

nos determina el tiempo que puede estar caído un proceso antes de que se
produzcan efectos desastrosos en la compañía y repercuta en el negocio.
Volviendo al caso anterior, supongamos que el proceso de gestión de nóminas no
debe estar interrumpido por un periodo superior a 48h. En este caso,
estableceríamos que el MTD asociado a dicho proceso es de 48h.

RPO (Recovery Point Objective): El grado de dependencia de la actualidad de los

datos determina la cantidad máxima de información que se podría perder sin llegar
a tener consecuencias inaceptables, formando parte de las políticas de respaldo
definidas por la organización. En este sentido, imaginemos que el Responsable
del Departamento de Administración nos indica que podrían tolerar una pérdida de
información siempre y cuando no se perdieran los datos generados en más de un
día completo. Por lo tanto, estableceríamos que el RPO es de 24h.
Ejemplo: Cuestiones Preliminares