BIA Business Impact Analysis.

Un BIA es el análisis estructurado que cuantifica el impacto de una interrupción sobre cada actividad crítica a lo largo del tiempo. Los resultados incluyen el objetivo de tiempo de recuperación, el objetivo de punto de recuperación y el objetivo mínimo de continuidad de negocio. Es un input obligatorio para ISO 22301 y DORA. Bien ejecutado, se convierte en el documento que el consejo de administración realmente lee.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

La perspectiva de Cyber Academy

Un BIA es el análisis estructurado que cuantifica el impacto de una interrupción sobre cada actividad crítica a lo largo del tiempo. Los resultados incluyen el objetivo de tiempo de recuperación, el objetivo de punto de recuperación y el objetivo mínimo de continuidad de negocio. Es un input obligatorio para ISO 22301 y DORA. Bien ejecutado, se convierte en el documento que el consejo de administración realmente lee.

Lo que realmente hace una BIA

Un Business Impact Analysis responde a una pregunta de la que depende el resto del programa de continuidad: si esta actividad se detiene, ¿qué tan grave llega a ser, y con qué rapidez? Toma cada actividad de negocio, la proyecta en el tiempo y describe las consecuencias de su interrupción en cada intervalo. Algunas actividades duelen en cuestión de minutos, el procesamiento de pagos o el mostrador de admisiones de un hospital. Otras pueden estar caídas durante días antes de que alguien fuera del equipo se dé cuenta. La BIA es lo que separa ambas, de modo que los escasos recursos de recuperación vayan donde el daño se acumula más rápido y no donde se sienta el directivo que más alza la voz.

El impacto se evalúa a través de varias dimensiones, no solo la pérdida de ingresos. La pérdida financiera es la más obvia, pero una BIA seria también captura la exposición regulatoria y legal, las penalizaciones contractuales, la seguridad de las personas y el daño reputacional. Una consecuencia trivial en euros puede ser existencial en términos de confianza. El sentido de mirar a través de las dimensiones es que la actividad que encabeza la lista en dinero rara vez es la misma que encabeza la lista en lo legal o lo de seguridad, y el consejo necesita verlas todas antes de fijar prioridades.

Del impacto a los objetivos

La BIA no se detiene en la descripción. Produce las cifras sobre las que se construye la estrategia de recuperación. A medida que el impacto aumenta con el tiempo, se alcanza el punto en que se vuelve inaceptable. Ese umbral fija el recovery time objective, el periodo máximo tolerable que la actividad puede permanecer caída. El recovery point objective surge del mismo ejercicio en el lado de los datos: cuánto trabajo reciente, medido en tiempo, puede perderse antes de que la interrupción cause un daño inaceptable. El minimum business continuity objective describe el nivel de operación reducido que debe sostener durante la interrupción, no el servicio completo, pero sí lo suficiente para seguir siendo viable.

Estos resultados son la entrada formal de la estrategia de continuidad. Un recovery time objective es un requisito impuesto a la solución de recuperación, no un deseo. Si la BIA dice que una actividad debe estar restablecida dentro de una ventana ajustada, la estrategia y el presupuesto tienen que cumplirlo, o la organización tiene que aceptar conscientemente la brecha. Por eso la BIA es el documento que deberían firmar los responsables de negocio y leer el consejo, en lugar de redactarlo el área de IT de forma aislada.

Dónde se sitúa la BIA en las normas

Bajo ISO 22301, la BIA es un paso obligatorio para establecer un sistema de gestión de la continuidad de negocio. La norma espera que determine las actividades que respaldan la entrega de productos y servicios, evalúe los impactos a lo largo del tiempo de no ejecutarlas y lo use para fijar plazos priorizados de reanudación. La BIA alimenta directamente la evaluación de riesgos y la elección de la estrategia de continuidad. Bajo DORA, la misma lógica se aplica a la resiliencia operativa digital: se espera que las entidades financieras comprendan el impacto de una interrupción sobre sus funciones críticas o importantes, y esa comprensión empieza por un análisis de impacto.

Una BIA no es una evaluación de riesgos, y confundir ambas debilita a las dos. La evaluación de riesgos pregunta qué podría causar una interrupción y qué tan probable es. La BIA es deliberadamente agnóstica respecto a las amenazas: pregunta cuánto duele una interrupción con independencia de la causa, ya sea el desencadenante un ciberataque, una inundación o un proveedor que falla. Se ejecutan como ejercicios complementarios. La BIA le dice qué debe protegerse y con qué rapidez debe recuperarse; la evaluación de riesgos le dice qué es lo más probable que lo amenace. Juntas justifican adónde va la inversión en continuidad.

En la práctica, una BIA se repite según un ciclo y tras un cambio importante, porque las actividades, las dependencias y las tolerancias se desvían. El proveedor que el año pasado era periférico está ahora en su ruta crítica; el proceso que podía perder durante dos días está ahora de cara al cliente. Una BIA con dos reestructuraciones de antigüedad es decoración.

Frequently asked questions

01¿Cuál es la diferencia entre una BIA y una evaluación de riesgos?

Una evaluación de riesgos mira qué podría salir mal y qué tan probable es. Una BIA mira cuánto duele si una actividad se detiene, con independencia de la causa. Son complementarias: la BIA prioriza qué proteger, la evaluación de riesgos identifica las amenazas que pesan sobre ello.

02¿Qué resultados debe producir una BIA?

Como mínimo, una lista priorizada de actividades críticas, el impacto a lo largo del tiempo de interrumpir cada una y los objetivos de recuperación resultantes: el recovery time objective, el recovery point objective y el minimum business continuity objective. Estos alimentan directamente la estrategia de continuidad.

03¿Es obligatoria una BIA para ISO 22301?

Sí. ISO 22301 exige que la organización determine sus actividades críticas y evalúe los impactos a lo largo del tiempo de su interrupción como parte del establecimiento del sistema de gestión de la continuidad de negocio. La BIA es el mecanismo que satisface este requisito.

04¿Quién debe ser responsable de la BIA y validarla?

Los responsables de las actividades de negocio, no solo el área de IT. Las personas responsables de cada actividad deben acordar sus calificaciones de impacto y sus objetivos de recuperación, porque son quienes cargan con la consecuencia y cuyo acuerdo hace que las cifras se sostengan ante un incidente real.

05¿Con qué frecuencia debe actualizarse una BIA?

Según un ciclo regular y tras cualquier cambio significativo en la organización, sus procesos, dependencias o proveedores. Las actividades y tolerancias se desvían con el tiempo, de modo que una BIA desactualizada puede priorizar lo equivocado cuando un incidente realmente ocurre.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.