Reflexiones para al ejecutar un análisis de Impacto al Negocio
Obtenido de la experiencia de ISM y la visión integral del modelo de capacidad de GRC les comparto algunas reflexiones a considerar cuando se desarrolla un BIA.
- El Análisis de Impacto de Negocio (BIA) es fundamental para definir objetivos y estrategias
- Un análisis incompleto, estrecho o influenciado obtendrá valores incorrectos para RTO, RPO y MTD
- Factores críticos para realizar bien el BIA
- Considerar las interrupciones del negocio, no de los sistemas. El objetivo del BIA es el negocio. Lo que se tiene que atender es el impacto a la organización si cierta función de negocio no se ejecuta, posteriormente se deberá analizar es en que servicios de TI se apoya dicha función de negocio; ojo se debe entender la totalidad del entorno de TI que compone el servicio en cuestión.
- No Minimizar la importancia el impacto financiero. Es complicado para simplificar y obtener información utilizable se debe considerar el impacto de “Pérdidas y ganancias” del evento en caso de una interrupción extendida, así como los costos de capital y operación de reconstrucción (retornar a la normalidad).
- No poner demasiado énfasis en el impacto financiero. No todo es dinero, es posible que para la organización existan otros temas iguales o más relevantes que la parte financiera: Reputación, participación de mercado, retención de clientes.
- No Confundir Análisis de Riesgos (RA) con Análisis de Impacto al Negocio (BIA). El Análisis de Riesgos (RA) nos ayudará a entender que puede pasar, el Análisis de Impacto al Negocio (BIA) nos dirá que le pasará al negocio si se materializa el riesgo.
- No Ajustar los resultados del BIA. Algunos funcionarios del negocio podrían sobre o sub estimar impactos financieros u operacionales debido al “alto” costo de recuperación, para “no salirse del presupuesto”.
