Por: Josué López
Como ya veíamos en un blog pasado (“BIA, en tiempos críticos”), la herramienta BIA (acrónimo de Business Impact Analysis, lo que en español sería Análisis de Impacto al Negocio) nos permite conocer el impacto que tiene cada uno de los procesos del negocio y las afectaciones que se pudieran materializar tras la suspensión o interrupción de operar estos procesos, ya sea por algún desastre natural o cualquier falla, accidente o escenario negativo para el negocio. En este espacio conoceremos un poco más sobre la metodología que se sigue para llevar a cabo un ejercicio BIA.
Es importante mencionar que no se tiene una sola manera de realizar un BIA, ya que cada negocio es diferente, no es lo mismo un hospital a una comercializadora de productos de limpieza. Esta metodología debe ser definida y validada por el negocio (en conjunto con el equipo encargado) en base a su situación.
Normalmente, dentro de HKMX, se maneja la siguiente metodología de 6 fases para la realización del BIA:
Con estas fases de la metodología se busca tener un ejercicio completo y robusto con la información que el negocio proporciona, para así contemplar todos los procesos a detalle con base a la experiencia de los colaboradores, ya sean directores, gerentes o especialistas de área. Para esto se deben de realizar entrevistas a las partes interesadas para el ejercicio, y con ello levantar la información necesaria.
Fase 1: Planeación
En esta primera fase se realiza un plan de trabajo para que sea la pauta que nos vaya marcando los tiempos y avances en cada una de las fases. Así también se realiza un listado de funciones del negocio y soporte, para que el equipo responsable del ejercicio tenga entendimiento de ello.
Fase 2: Definiciones y Criterios
Durante esta etapa se deberá de definir los rangos de tiempo que serán utilizados para las entrevistas, así mismo se estaría definiendo los impactos operativos para que sean lo más acotados al negocio. Una parte esencial de esta fase es la definición del impacto financiero, ya esta parte tendrá mucha importancia para el desarrollo del ejercicio.
Fase 3: Entrevistas
Esta fase, a mi criterio, es de las más tardadas pero también más especiales, ya que hay mucho valor en la información que se está recuperando con cada uno de los miembros de las áreas del negocio. Durante estas entrevistas vas conociendo al negocio, su forma de operar, e identificando ciertos puntos críticos que se desconocían con anterioridad.
Como resultado de estas entrevistas podremos identificar las aplicaciones y sistemas críticos, personal y proveedores críticos, o hasta documentación requerida para llevar a cabo los procesos.
Fase 4: Análisis de Impactos
Tras la interrupción de la operación del negocio, generan ciertas consecuencias negativas, las cuales se estarían evaluando en diferentes tipos de impactos operativos (productividad, reputación, legal, o a clientes) y acotadas a una escala de tiempo (igualmente propuesta y validada por el negocio y equipo encargado), y así poder identificar aquellos procesos críticos.
Fase 5: Objetivos de Recuperación
En base a los periodos de tiempo identificados como críticos, el equipo propone los objetivos de recuperación óptimos para el negocio: Tiempo Objetivo de Recuperación (RTO) y Punto Objetivo de Recuperación (RPO) [Véase artículo “RPO y RTO, más que sólo dos conceptos, una necesidad”].
De esa manera se tendrá un entendimiento claro de cuál es el tiempo límite que tenemos para responder a las afectaciones posibles tras la suspensión del proceso, y con ello acotar todas las actividades necesarias a realizar.
Fase 6: Reporte Ejecutivo BIA
Una vez que se haya concluido la fase 5 del BIA, y que se hayan definido los tratamientos y estrategias DRP y BCP adecuadas, se deberá de realizar el reporte ejecutivo BIA, en el cual se deberá de incluir la explicación de la metodología y los resultados obtenidos del ejercicio. El reporte finalizado se deberá de comprobar con el negocio y equipo encargado para su validación.
En Hacking Knowledge México hemos acompañado a nuestros clientes, de diferentes sectores, en el desarrollo e implementación del Análisis de Impacto al Negocio y planes de continuidad. Podemos ayudarte en el desarrollo del BIA para el cumplimiento de diversas normatividades en materia de Seguridad de Información que tu organización requiere.
Referencias:
- Colombia (2015). Guía para realizar el Análisis de Impacto de Negocios BIA, MINTIC.
- ISO 22301:2012, Sistemas de Gestión y Continuidad del Negocio.