BIA Business Impact Analysis.

Uma BIA é a análise estruturada que quantifica o impacto da interrupção em cada atividade crítica ao longo do tempo. Os resultados incluem o objetivo de tempo de recuperação, o objetivo de ponto de recuperação e o objetivo mínimo de continuidade de negócio. Entrada obrigatória para ISO 22301 e DORA. Bem executada, torna-se o documento que o conselho de administração efetivamente lê.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyResilience & continuityAll entries

A perspetiva da Cyber Academy

Uma BIA é a análise estruturada que quantifica o impacto da interrupção em cada atividade crítica ao longo do tempo. Os resultados incluem o objetivo de tempo de recuperação, o objetivo de ponto de recuperação e o objetivo mínimo de continuidade de negócio. Entrada obrigatória para ISO 22301 e DORA. Bem executada, torna-se o documento que o conselho de administração efetivamente lê.

O que uma BIA realmente faz

Uma Business Impact Analysis responde a uma pergunta da qual depende o resto do programa de continuidade: se esta atividade parar, quão grave fica, e com que rapidez? Você pega cada atividade de negócio, a projeta no tempo e descreve as consequências da sua interrupção em cada intervalo. Algumas atividades doem em questão de minutos, o processamento de pagamentos ou o balcão de admissões de um hospital. Outras podem ficar paradas por dias antes que alguém fora da equipe perceba. A BIA é o que separa as duas, de modo que os escassos recursos de recuperação vão para onde o dano se acumula mais rápido, e não para onde está o gestor que mais levanta a voz.

O impacto é avaliado em várias dimensões, não apenas na perda de receita. A perda financeira é a mais óbvia, mas uma BIA séria também capta a exposição regulatória e jurídica, as penalidades contratuais, a segurança das pessoas e o dano reputacional. Uma consequência trivial em euros pode ser existencial em termos de confiança. O sentido de olhar para várias dimensões é que a atividade que encabeça a lista em dinheiro raramente é a mesma que encabeça a lista no plano jurídico ou de segurança, e o conselho precisa ver todas elas antes de definir prioridades.

Do impacto aos objetivos

A BIA não para na descrição. Ela produz os números sobre os quais a estratégia de recuperação é construída. À medida que o impacto cresce ao longo do tempo, você chega ao ponto em que ele se torna inaceitável. Esse limiar define o recovery time objective, o período máximo tolerável durante o qual a atividade pode permanecer parada. O recovery point objective vem do mesmo exercício no lado dos dados: quanto trabalho recente, medido em tempo, pode ser perdido antes que a interrupção cause um dano inaceitável. O minimum business continuity objective descreve o nível reduzido de operação que você deve sustentar durante a interrupção, não o serviço completo, mas o suficiente para permanecer viável.

Esses resultados são a entrada formal da estratégia de continuidade. Um recovery time objective é um requisito imposto à solução de recuperação, não um desejo. Se a BIA diz que uma atividade deve estar restabelecida dentro de uma janela apertada, a estratégia e o orçamento têm de entregar isso, ou a organização tem de aceitar conscientemente a lacuna. É por isso que a BIA é o documento que deveria ser aprovado pelos responsáveis de negócio e lido pelo conselho, em vez de ser escrito pela TI de forma isolada.

Onde a BIA se situa nas normas

Sob a ISO 22301, a BIA é uma etapa obrigatória para estabelecer um sistema de gestão da continuidade de negócio. A norma espera que você determine as atividades que sustentam a entrega de produtos e serviços, avalie os impactos ao longo do tempo de não as executar e use isso para definir prazos priorizados de retomada. A BIA alimenta diretamente a avaliação de riscos e a escolha da estratégia de continuidade. Sob a DORA, a mesma lógica se aplica à resiliência operacional digital: espera-se que as entidades financeiras compreendam o impacto de uma interrupção sobre as suas funções críticas ou importantes, e essa compreensão começa por uma análise de impacto.

Uma BIA não é uma avaliação de riscos, e confundir as duas enfraquece ambas. A avaliação de riscos pergunta o que poderia causar uma interrupção e qual a sua probabilidade. A BIA é deliberadamente agnóstica quanto às ameaças: pergunta quanto uma interrupção dói, independentemente da causa, seja o gatilho um ciberataque, uma inundação ou um fornecedor que falha. Você as executa como exercícios complementares. A BIA diz o que deve ser protegido e com que rapidez deve se recuperar; a avaliação de riscos diz o que é mais provável que o ameace. Juntas, justificam para onde vai o investimento em continuidade.

Na prática, uma BIA é repetida segundo um ciclo e após mudanças importantes, porque atividades, dependências e tolerâncias mudam com o tempo. O fornecedor que era periférico no ano passado está agora no seu caminho crítico; o processo que você podia perder por dois dias está agora voltado para o cliente. Uma BIA com duas reestruturações de idade é decoração.

Frequently asked questions

01Qual é a diferença entre uma BIA e uma avaliação de riscos?

Uma avaliação de riscos olha para o que poderia dar errado e qual a sua probabilidade. Uma BIA olha para quanto dói se uma atividade parar, independentemente da causa. Elas são complementares: a BIA prioriza o que proteger, a avaliação de riscos identifica as ameaças a isso.

02Que resultados uma BIA deve produzir?

No mínimo, uma lista priorizada de atividades críticas, o impacto ao longo do tempo de interromper cada uma e os objetivos de recuperação resultantes: o recovery time objective, o recovery point objective e o minimum business continuity objective. Estes alimentam diretamente a estratégia de continuidade.

03Uma BIA é obrigatória para a ISO 22301?

Sim. A ISO 22301 exige que a organização determine as suas atividades críticas e avalie os impactos ao longo do tempo da sua interrupção como parte do estabelecimento do sistema de gestão da continuidade de negócio. A BIA é o mecanismo que satisfaz esse requisito.

04Quem deve ser responsável pela BIA e validá-la?

Os responsáveis pelas atividades de negócio, não a TI sozinha. As pessoas responsáveis por cada atividade devem acordar as suas classificações de impacto e os seus objetivos de recuperação, porque são elas que carregam a consequência e cujo acordo faz os números se sustentarem diante de um incidente real.

05Com que frequência uma BIA deve ser atualizada?

Segundo um ciclo regular e após qualquer mudança significativa na organização, nos seus processos, dependências ou fornecedores. Atividades e tolerâncias mudam com o tempo, de modo que uma BIA desatualizada pode priorizar as coisas erradas quando um incidente realmente acontece.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.