Diseñar un plan de continuidad de negocio exige mucho más que buenas intenciones: requiere un proceso estructurado que identifique los procesos críticos, cuantifique su impacto y establezca tiempos de recuperación realistas. A continuación se explica paso a paso cómo diligenciar la plantilla del BIA (Business Impact Analysis) siguiendo las directrices de la ISO 22301, la norma internacional de referencia en continuidad.
¿Qué información necesitas para iniciar el análisis de impacto al negocio?
El BIA o análisis de impacto al negocio es el primer insumo que alimenta todo el plan de continuidad [0:18]. Su objetivo es identificar cada una de las actividades críticas sobre las cuales debes centrar tu estrategia de recuperación.
La plantilla comienza con datos generales:
- Nombre del negocio: la compañía para la cual construyes el plan.
- Número de personas: cantidad de colaboradores en la organización.
- Proceso padre: el proceso principal o global, por ejemplo, venta de productos de construcción [1:28].
Después de registrar estos campos, debes listar todos los procesos de la compañía para luego detallar uno a uno los más importantes, aquellos sin los cuales la organización no puede subsistir.
¿Cómo identificar escenarios y amenazas que interrumpen un proceso?
Para cada proceso padre debes plantear escenarios de interrupción. Un escenario responde a la pregunta: ¿qué situación puede obligar a detener este proceso? En el ejemplo, el escenario es "sistemas tecnológicos caídos" [2:05].
El paso siguiente es detallar la amenaza concreta que provoca ese escenario. Si los sistemas se caen, la causa podría ser una falla en las comunicaciones: sin enlaces activos, los servidores y bases de datos quedan inaccesibles aunque funcionen correctamente [3:08].
Aquí es clave tu rol como asesor. Plantéale al dueño del proceso varias posibilidades —inundaciones, falta de personal, fallas de hardware— para que él confirme cuáles realmente comprometen la operación [2:40].
¿Cómo medir el impacto cuantitativo y cualitativo de una interrupción?
El impacto cuantitativo se expresa en cifras monetarias, preferiblemente en la denominación más alta (millones o miles de dólares) [3:30]. El impacto cualitativo recoge consecuencias no monetarias:
- Daño reputacional.
- Pérdida de clientes.
- Multas legales.
- En ciertos sectores, riesgo para la vida humana [4:05].
Ambos tipos de impacto son fundamentales para establecer después la orden de prioridad de recuperación.
¿Qué son el RTO y el RPO y cómo se definen en la plantilla?
Dos métricas determinan la estrategia de recuperación de cada proceso.
El RTO (Recovery Time Objective) es el tiempo objetivo de recuperación, expresado en horas [6:22]. Indica cuánto tiempo puede permanecer interrumpida una actividad antes de que la compañía colapse. Si el dueño del proceso dice "cuatro horas es lo máximo aceptable", ese es tu RTO. Un valor de uno significa que necesitas alta disponibilidad al 100 % en tu infraestructura [9:30].
El RPO (Recovery Point Objective) es el punto objetivo de recuperación, también expresado en horas [7:02]. Define cuánta información puedes perder durante la interrupción. Por ejemplo, si la operación inicia a las ocho y el enlace cae a las diez, las transacciones de esas dos horas podrían no haberse almacenado en base de datos [7:20].
La ISO 22301 sugiere tablas de referencia para ambos valores:
- RTO 1: alta disponibilidad, activo-activo.
- RTO 2: no más de ocho horas de interrupción.
- RTO 4: hasta setenta y dos horas [9:48].
Puedes usar estas tablas o registrar directamente el número de horas; lo importante es que el criterio sea claro y consistente.
¿Qué otros elementos completan el BIA?
Además de RTO y RPO, la plantilla incluye campos que enriquecen el análisis:
- Actividades dentro de los sistemas de información: por ejemplo, el registro de pedidos de clientes [5:30].
- Proveedor o área responsable: si la dependencia es de un tercero como un operador de telecomunicaciones, o de un área interna como contabilidad [5:45].
- Riesgo asociado: tomado directamente de la matriz de riesgos elaborada en fases anteriores [6:05].
- Probabilidad: categorizada como constante, moderada, ocasional, posible o improbable [6:40].
- Tiempo de recuperación de personal: aplica cuando debes desplazar equipos a otra sede; se asocia a estrategias como el árbol de llamadas y la contratación de transporte especializado [8:22].
En la sección de amenazas de la plantilla encontrarás ejemplos agrupados por tipo [10:55]:
- Financieras: mal uso de recursos, malversación de fondos.
- Operativas: falta de personal clave, ausencias masivas.
- Tecnológicas: interrupción del servicio, fallas de hardware o software, falta de esquema de reemplazo periódico.
Recuerda que el rol que lidera este ejercicio es el de continuidad de negocio, pero como oficial de seguridad de la información o líder del SGSI bajo la ISO 27001, tu acompañamiento y asesoría resultan indispensables [4:50].
La recomendación final es concentrar las estrategias en los diez o doce procesos más críticos de la organización [11:28]. Aunque una compañía tenga trescientos procesos, priorizar los misionales permite avanzar de forma realista en un proyecto que, por su magnitud, se desarrolla en varias fases a lo largo del tiempo. Si ya estás trabajando tu propia plantilla, comparte en los comentarios qué escenarios has identificado y cómo definiste tus tiempos de recuperación.
