Business Impact Analysis
El Rol del Business Impact Analysis
El análisis de impacto al negocio (Business Impact Analysis o BIA por sus siglas en inglés) es otro elemento utilizado para estimar la afectación que podría padecer una organización como resultado de la ocurrencia de algún incidente o un desastre.
A diferencia de una evaluación de riesgos, que se enfoca en cómo podría verse afectada una organización a través de la identificación, análisis y valoración de amenazas de seguridad con base en su impacto sobre los activos críticos y la probabilidad de ocurrencia, el BIA es un proceso más especializado en la identificación de los tipos de impacto, orientado en conocer qué podría verse afectado y las consecuencias sobre los procesos de negocio.
Características del Business Impact Analysis
El Business Impact Analysis tiene dos objetivos principales; el primero de ellos consiste en proveer una base para identificar los procesos críticos para la operación de una organización. Una vez generado ese punto de partida, el segundo se refiere a la priorización de ese conjunto de procesos, siguiendo el criterio de cuanto mayor sea el impacto, mayor será la prioridad.
El BIA está directamente relacionado con aquellos procesos que poseen un tiempo crítico para su operación, porque si bien todos los procesos sujetos a un tiempo crítico son de misión crítica, no todos los procesos de misión crítica están relacionados con un tiempo crítico para su ejecución.
De manera adicional, el desarrollo de este análisis permite estimar los recursos necesarios para los procesos identificados, de manera especial para aquellos que representan mayor sensibilidad con relación al tiempo y el impacto.
Ventajas de la realización de un análisis de impacto
El primer beneficio de la ejecución de un Business Impact Analysis es que puede ser utilizado como una de las fases iniciales para el desarrollo posterior de un DRP y en consecuencia de un BCP, al tiempo que permite identificar los recursos más importantes de una organización y el impacto que podría representar en caso de algún incidente o interrupción mayor.
Por otro lado, también puede ser utilizado como un elemento que complemente el desarrollo de una evaluación de riesgos, ya que se enfoca en la priorización de los procesos de negocio y en el impacto sobre éstos. En este punto, es importante mencionar que la evaluación de riesgos utiliza esta variable (impacto) y la probabilidad de ocurrencia de la materialización de una amenaza para llevar a cabo la valoración.
Finalmente, contribuye a mejorar el entendimiento sobre las afectaciones a la organización, así como de la manera de responder ante las mismas, por lo que también está relacionado con el plan de respuesta a incidentes. De esta forma, podemos observar su relación con otros elementos proactivos de seguridad de la información y las ventajas de su aplicación.