BIA BUSINESS IMPACT ANALYSIS

DOCUMENTO USO INTERNO

INTRODUCION El propsito fundamental del Anlisis de Impacto sobre el negocio, conocido ms comnmente como BIA, (Business Impact Anlisis) es determinar y entender qu procesos son esenciales para la continuidad de las operaciones y calcular su posible impacto. Este proceso es parte fundamental dentro de la elaboracin de un Plan de Continuidad del Negocio. De acuerdo al Business Continuity Institute se tienen cuatro objetivos principales al realizar un anlisis de impacto: Entender los procesos crticos que soportan el servicio, la prioridad de cada uno de estos servicios y los tiempos estimados de recuperacin (RTO). Determinar los tiempos mximos tolerables de interrupcin (MTD). Apoyar el proceso de determinar las estrategias adecuadas de recuperacin.

CRTICOS Funciones que pueden realizarse slo si las capacidades se reemplazan por otras idnticas. No pueden reemplazarse por mtodos manuales. Muy baja tolerancia a interrupciones.

VITALES Pueden realizarse manualmente por un periodo breve. Costo de interrupcin un poco ms bajos, slo si son restaurados dentro de un tiempo determinado (5 menos das, por ejemplo).

SENSITIVOS Funciones que pueden realizarse manualmente por un periodo prolongado a un costo tolerable. El proceso manual puede ser complicado y requerira de personal adicional.

NO CRITICOS Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeo o nulo.

El anlisis de impacto sobre el negocio, est basado en escenarios catastrficos que al darse su ocurrencia impactaran la infraestructura y procesos que soporta la realizacin

de las operaciones y servicios de SISTESEG, lo que requerir que el sistema posea unas estrategias de recuperacin a corto, mediano y largo plazo, que garanticen su supervivencia por el periodo que duren las consecuencias del desastre. Se puede concluir diciendo que las actividades normalmente relacionadas al desarrollo de un Anlisis de Impacto sobre los Servicios son: Procesos crticos del sistema Dependencias Impacto sobre las operaciones Determinar los tiempos de recuperacin ptimos para los procesos crticos

Metodologa utilizada para el desarrollo del BIA El BIA implica determinar las labores y los recursos esenciales para respaldar la continuidad del negocio DE SISTESEG, su criticidad, su impacto para el negocio, sus RTOs (Recovery Time Objective tiempo de recuperacin objetivo), RPOs (Recovery Point Objective - punto de recuperacin objetivo) y MTDs (Maximum Tolerable Downtime tiempo mximo tolerable fuera de servicio).

Figura 1. Metodologa AIS

A continuacin, se describe cada una de las actividades. 1. Identificar instalaciones: se valida la lista de instalaciones fsicas o entidades en donde opera SISTESEG.

2.

Identificar procesos en cada instalacin: se obtiene la lista de procesos que se realizan en cada instalacin y se determina cules de ellos estn relacionados de manera directa o indirecta con el servicio. Analizar la criticidad de los procesos en cada instalacin: se califica la criticidad de cada uno de los procesos relacionados con SISTESEG, haciendo uso de la tabla de criticidad previamente definida. Calcular el RTO, RPO y MTD de cada proceso en cada instalacin: se estima, mediante encuestas o entrevistas, el tiempo de recuperacin objetivo, el punto de recuperacin objetivo y el tiempo mximo tolerable fuera de servicio para cada proceso en cada instalacin. Determinar procesos crticos en cada instalacin: se determinan los procesos crticos para cada instalacin considerando las criticidades, los impactos para el negocio, los RTOs, los RPOs y los MTDs.

3.

4.

5.

Tiempos de recuperacin necesitados en el proceso Una vez definidos los procesos crticos del sistema, se debe proceder a realizar un anlisis de impacto identificando qu sucede si uno de estos procesos permanece por fuera una determinada cantidad de tiempo. Se busca de esta manera estimar el tiempo mximo que estando el sistema interrumpido, pondra en riesgo la continuidad del negocio. Para calcular este intervalo de tiempo no solamente se deben considerar los costos asociados de la interrupcin del servicio, sino que tambin se deben considerar los costos asociados a la estrategia de recuperacin, la cual entre ms corta sea el tiempo que se establezca de recuperacin mayor ser el valor monetario de su implementacin.

COSTO

PERDIDAS INTERRUPCIO N COSTO ESTRATEGIA

TIEMPO

Tiempo y Costo de las estrategias de recuperacin.

Estrategia de recuperacin tecnologicas Las estrategias de recuperacin segn su costo y tiempo de activacin se pueden clasificar segn la tabla 1.
SITIO Sitio en fro Sitio preparado (hot site) Sitio Mvil Espejo (Mirror) COSTO HARDWARE TELECOMUNI CACIONES TIEMPO LOCALIZACIN

Bajo Medio Alto Muy Alto

No Completo Variable Completo

Ninguno Completo Variable Completo

Largo Corto Variable ninguno

Fijo Fijo No fijo Fijo

Tabla 1. Estrategias de recuperacin.

Sitio en fro: consiste tpicamente en una facilidad con adecuado espacio e infraestructura para soportar los sistemas tecnolgicos. No contiene dispositivos tecnolgicos tales como telfonos, computadores, redes o servidores. De todas las estrategias sta es la menos costosa pero la que toma ms tiempo para que quede operativa y funcionando. Hot Sites (sitio preparado): Este tipo de Estrategias est completamente equipada con equipos de oficina y contiene hardware, software, redes y energa. Es mantenido operacional a la espera de recibir las personas que haran uso de sus servicios. Sitio mvil: Este tipo de estrategias est parcialmente equipada con equipos de oficina y contiene parte del hardware, software, redes y energa. Es mantenido operacional a la espera de recibir la orden de trasladarse hacia el sitio en donde se har la recuperacin. Este sitio mvil podra tener tambin computadores y escritorios para un grupo de trabajo. Sitio espejo (mirror site): Este tipo de Estrategias est totalmente equipada con equipos de oficina y contiene hardware, software, informacin, redes y energa.

FIN DEL DOCUMENTO BUSINESS IMPACT ANALYSIS