A perspetiva da Cyber Academy
Uma BIA é a análise estruturada que quantifica o impacto da interrupção em cada atividade crítica ao longo do tempo. Os resultados incluem o objetivo de tempo de recuperação, o objetivo de ponto de recuperação e o objetivo mínimo de continuidade de negócio. Entrada obrigatória para ISO 22301 e DORA. Bem executada, torna-se o documento que o conselho de administração efetivamente lê.
O que uma BIA realmente faz
Uma Business Impact Analysis responde a uma pergunta da qual depende o resto do programa de continuidade: se esta atividade parar, quão grave fica, e com que rapidez? Você pega cada atividade de negócio, a projeta no tempo e descreve as consequências da sua interrupção em cada intervalo. Algumas atividades doem em questão de minutos, o processamento de pagamentos ou o balcão de admissões de um hospital. Outras podem ficar paradas por dias antes que alguém fora da equipe perceba. A BIA é o que separa as duas, de modo que os escassos recursos de recuperação vão para onde o dano se acumula mais rápido, e não para onde está o gestor que mais levanta a voz.
O impacto é avaliado em várias dimensões, não apenas na perda de receita. A perda financeira é a mais óbvia, mas uma BIA séria também capta a exposição regulatória e jurídica, as penalidades contratuais, a segurança das pessoas e o dano reputacional. Uma consequência trivial em euros pode ser existencial em termos de confiança. O sentido de olhar para várias dimensões é que a atividade que encabeça a lista em dinheiro raramente é a mesma que encabeça a lista no plano jurídico ou de segurança, e o conselho precisa ver todas elas antes de definir prioridades.
Do impacto aos objetivos
A BIA não para na descrição. Ela produz os números sobre os quais a estratégia de recuperação é construída. À medida que o impacto cresce ao longo do tempo, você chega ao ponto em que ele se torna inaceitável. Esse limiar define o recovery time objective, o período máximo tolerável durante o qual a atividade pode permanecer parada. O recovery point objective vem do mesmo exercício no lado dos dados: quanto trabalho recente, medido em tempo, pode ser perdido antes que a interrupção cause um dano inaceitável. O minimum business continuity objective descreve o nível reduzido de operação que você deve sustentar durante a interrupção, não o serviço completo, mas o suficiente para permanecer viável.
Esses resultados são a entrada formal da estratégia de continuidade. Um recovery time objective é um requisito imposto à solução de recuperação, não um desejo. Se a BIA diz que uma atividade deve estar restabelecida dentro de uma janela apertada, a estratégia e o orçamento têm de entregar isso, ou a organização tem de aceitar conscientemente a lacuna. É por isso que a BIA é o documento que deveria ser aprovado pelos responsáveis de negócio e lido pelo conselho, em vez de ser escrito pela TI de forma isolada.
Onde a BIA se situa nas normas
Sob a ISO 22301, a BIA é uma etapa obrigatória para estabelecer um sistema de gestão da continuidade de negócio. A norma espera que você determine as atividades que sustentam a entrega de produtos e serviços, avalie os impactos ao longo do tempo de não as executar e use isso para definir prazos priorizados de retomada. A BIA alimenta diretamente a avaliação de riscos e a escolha da estratégia de continuidade. Sob a DORA, a mesma lógica se aplica à resiliência operacional digital: espera-se que as entidades financeiras compreendam o impacto de uma interrupção sobre as suas funções críticas ou importantes, e essa compreensão começa por uma análise de impacto.
Uma BIA não é uma avaliação de riscos, e confundir as duas enfraquece ambas. A avaliação de riscos pergunta o que poderia causar uma interrupção e qual a sua probabilidade. A BIA é deliberadamente agnóstica quanto às ameaças: pergunta quanto uma interrupção dói, independentemente da causa, seja o gatilho um ciberataque, uma inundação ou um fornecedor que falha. Você as executa como exercícios complementares. A BIA diz o que deve ser protegido e com que rapidez deve se recuperar; a avaliação de riscos diz o que é mais provável que o ameace. Juntas, justificam para onde vai o investimento em continuidade.
Na prática, uma BIA é repetida segundo um ciclo e após mudanças importantes, porque atividades, dependências e tolerâncias mudam com o tempo. O fornecedor que era periférico no ano passado está agora no seu caminho crítico; o processo que você podia perder por dois dias está agora voltado para o cliente. Uma BIA com duas reestruturações de idade é decoração.
Frequently asked questions
01Qual é a diferença entre uma BIA e uma avaliação de riscos?
Uma avaliação de riscos olha para o que poderia dar errado e qual a sua probabilidade. Uma BIA olha para quanto dói se uma atividade parar, independentemente da causa. Elas são complementares: a BIA prioriza o que proteger, a avaliação de riscos identifica as ameaças a isso.
02Que resultados uma BIA deve produzir?
No mínimo, uma lista priorizada de atividades críticas, o impacto ao longo do tempo de interromper cada uma e os objetivos de recuperação resultantes: o recovery time objective, o recovery point objective e o minimum business continuity objective. Estes alimentam diretamente a estratégia de continuidade.
03Uma BIA é obrigatória para a ISO 22301?
Sim. A ISO 22301 exige que a organização determine as suas atividades críticas e avalie os impactos ao longo do tempo da sua interrupção como parte do estabelecimento do sistema de gestão da continuidade de negócio. A BIA é o mecanismo que satisfaz esse requisito.
04Quem deve ser responsável pela BIA e validá-la?
Os responsáveis pelas atividades de negócio, não a TI sozinha. As pessoas responsáveis por cada atividade devem acordar as suas classificações de impacto e os seus objetivos de recuperação, porque são elas que carregam a consequência e cujo acordo faz os números se sustentarem diante de um incidente real.
05Com que frequência uma BIA deve ser atualizada?
Segundo um ciclo regular e após qualquer mudança significativa na organização, nos seus processos, dependências ou fornecedores. Atividades e tolerâncias mudam com o tempo, de modo que uma BIA desatualizada pode priorizar as coisas erradas quando um incidente realmente acontece.