Consiga 4 meses GRATIS de Conformio para implementar ISO 27001

Cinco consejos para realizar con éxito un Análisis de impactos en el negocio


Probablemente se ha preguntado por qué tiene que realizar un análisis de impactos en el negocio (AIN) una vez que ya ha sido realizada la evaluación de riesgos. Ya identificó todos los riesgos, ¿verdad? Ya le demandó bastante tiempo analizar su empresa, entonces ¿por qué hacer otro análisis?

Bien, el objetivo del AIN es diferente. Para la continuidad del negocio todo tiene que ver con el tiempo; no importa que usted pueda recuperar sus actividades comerciales si no lo logra en un tiempo razonable. “Razonable” es lo que tiene que determinar el AIN. Su principal objetivo es encontrar cuál es el objetivo de tiempo de recuperación para cada actividad crítica de la organización.

Esta clase de análisis generalmente se toma muy ligeramente; la empresa, a menudo, no es consciente de que los malos resultados pueden generar gastos innecesarios o pueden crear una estrategia inadecuada de continuidad del negocio, aunque también se subestiman los esfuerzos necesarios para realizar un AIN.

Por lo tanto, estos son algunos consejos que harán que su análisis de impactos en el negocio sea más efectivo:

Tómelo como un (mini) proyecto. Defina quién será la persona responsable de su implementación y qué autoridad tendrá, defina el alcance, los objetivos y el período de tiempo.

Haga las tareas, prepare un buen cuestionario. Un cuestionario bien estructurado le ahorrará mucho tiempo y hará que los resultados sean más precisos. Las normas BS 25999-1 y BS 25999-2 le proporcionarán una noción bastante amplia de qué debe contener; entre otras cosas, usted tiene que identificar los impactos producidos por las interrupciones y tiene que determinar cómo estos impactos varían en el tiempo, identificar los recursos necesarios para la recuperación, etc. Una buena práctica es utilizar tanto preguntas cualitativas como cuantitativas para identificar los impactos.

Defina un criterio claro. Si sus entrevistados tienen que responder preguntas asignando valores, por ejemplo, de 1 a 5, asegúrese de explicar con exactitud qué significa cada una de estas cinco puntuaciones. No es extraño que el mismo evento sea evaluado como catastrófico por los empleados de menor nivel mientras que la alta gerencia evalúa su impacto como moderado.

Recolecte los datos a través de la interacción personal. Los mejores resultados se obtienen cuando alguien experto en continuidad del negocio realiza una entrevista con la persona responsable de una actividad crítica. De esa forma se clarifican muchas preguntas sin responder y se logran respuestas equilibradas. Si no es posible realizar las entrevistas, al menos organice un taller de trabajo con todos los participantes para que ellos puedan aclarar todas las dudas que tengan. Es decir, no les envíe simplemente los cuestionarios y les llame la atención si no se los devuelven a tiempo.

Determina los objetivos de tiempo de recuperación sólo después de que haya identificado todas las interdependencias. Por ejemplo, a través del cuestionario usted puede llegar a la conclusión de que para una actividad crítica “A” el período máximo tolerable de interrupción es de 2 días; sin embargo, el período máximo tolerable de interrupción para la actividad crítica “B” es 1 día y no se puede recuperar sin la ayuda de la actividad crítica «A». Esto significa que el objetivo de tiempo de recuperación para «A» será de 1 día en lugar de 2 días.

De acuerdo a mi experiencia, los resultados del AIN muchas veces son impensados; generalmente el objetivo de tiempo de recuperación es mayor de lo que se pensaba inicialmente y el AIN revela las dependencias de algunos recursos que se transforman, en realidad, en un punto único de falla. Pero lo mejor de todo, es que el análisis de impactos en el negocio es la forma más efectiva de hacer pensar a la gente sobre lo inesperado; generando esta concienciación, usted aumenta las posibilidades de supervivencia de su empresa.

Este webinar gratuito también puede ayudarle con la: Implementing Business Impact Analysis according to ISO 22301.

Advisera Dejan Kosutic
Autor
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.