Saltar al contenido principal

Guía CCN-STIC 803

Análisis de Impacto (BIA) para el Esquema Nacional de Seguridad

El BIA es el primer paso para certificarte en el ENS. Determina qué tan críticos son tus servicios, calcula el RTO y establece la categoría de tu sistema. Aquí te explicamos cómo hacerlo según la metodología oficial del CCN.

Hacer mi BIA gratis Leer la guía completa

¿Qué es el Análisis de Impacto en el Negocio?

El BIA (Business Impact Analysis) es el proceso mediante el cual una organización identifica sus servicios esenciales y evalúa las consecuencias de su interrupción. En el contexto del ENS, el BIA tiene un objetivo muy concreto: calcular la dimensión de Disponibilidad del sistema.

La Disponibilidad es una de las 5 dimensiones de seguridad que determinan la categoría del sistema (junto con Confidencialidad, Integridad, Trazabilidad y Autenticidad). El BIA la calcula midiendo cuánto tiempo puede estar un servicio fuera de funcionamiento antes de que las consecuencias sean graves, esto se llama RTO (Recovery Time Objective).

La categoría resultante (Básica, Media o Alta) determina qué medidas de seguridad del Anexo II del Real Decreto 311/2022 son obligatorias para tu sistema. No es lo mismo proteger un sistema de categoría Básica que uno de categoría Alta, las exigencias de seguridad escalan significativamente.

Los 5 pasos del BIA según CCN-STIC 803

El procedimiento oficial para realizar el análisis de impacto y determinar la categoría de tu sistema

01

Identificar servicios esenciales

Enumera los servicios que presta tu organización a través del sistema. Agrupa actividades relacionadas en servicios lógicos, por ejemplo, 'Diseño y Desarrollo' como un único servicio, no como actividades separadas.

Nuestra IA puede generar automáticamente una propuesta de servicios a partir de la descripción de tu organización.

02

Evaluar el impacto por franjas temporales

Para cada servicio, valora las consecuencias de su indisponibilidad en 7 franjas: desde menos de 1 hora hasta más de 2 semanas. Evalúa 4 categorías: Imagen, Legal, Retención de clientes y Económico.

El resultado es una matriz de impacto que muestra cómo escala el daño con el tiempo.

03

Calcular el RTO

El Tiempo de Recuperación Objetivo (RTO) es la franja temporal donde el impacto pasa de 'Bajo' a 'Medio'. Es el tiempo máximo que puedes permitirte sin el servicio antes de que las consecuencias sean graves.

RTO ≤ 4h → Disponibilidad Alta. RTO ≤ 24h → Media. RTO > 24h → Baja.

04

Valorar las dimensiones CITA

Para cada activo de información, evalúa Confidencialidad, Integridad, Trazabilidad y Autenticidad con niveles Bajo, Medio o Alto. El nivel final de cada dimensión es el máximo entre todos los activos.

Ejemplo: si un solo activo tiene Confidencialidad Alta, toda la dimensión C es Alta.

05

Obtener la categoría del sistema

La categoría final es el máximo entre las 5 dimensiones (CITA + Disponibilidad). Si cualquier dimensión es Alta, el sistema es de categoría Alta. Esto determina qué medidas de seguridad del Anexo II son obligatorias.

Categorías: Básica (medidas mínimas), Media (medidas reforzadas), Alta (medidas estrictas).

Categorización automática del sistema

La IA analiza tus servicios, evalúa las 5 dimensiones CITA y determina la categoría de tu sistema según la CCN-STIC 803. Tú solo revisas y apruebas el resultado.

  • 5 dimensiones: Confidencialidad, Integridad, Disponibilidad, Autenticidad, Trazabilidad
  • Matriz de impacto temporal con RTO automático
  • Informe PDF listo para la certificadora
Probar BIA Gratis
BÁSICA MEDIA ALTA

Del BIA al cumplimiento completo

BIA + Categorización

Gratis, sin registro

  • Identificación de servicios esenciales
  • Matriz de impacto por franjas temporales
  • Cálculo automático del RTO
  • Valoración CITA de activos
  • Categoría final del sistema
  • Generación con IA o entrada manual
Empezar BIA gratis

Cumplimiento ENS completo

Con cuenta en app.esquema.dev

  • Todo lo del BIA, guardado en tu cuenta
  • Análisis de Riesgos MAGERIT con IA
  • Arquitectura de Seguridad [op.pl.2]
  • Inventario de activos clasificado
  • Documentación Anexo II generada por IA
  • Informes PDF para la certificadora
Crear cuenta gratuita

Preguntas frecuentes sobre el BIA y el ENS

¿Qué es un Análisis de Impacto (BIA) en el contexto del ENS?

El Análisis de Impacto en el Negocio (BIA) es el proceso que identifica los servicios esenciales de una organización y evalúa las consecuencias de su indisponibilidad en diferentes franjas temporales. En el ENS, el BIA determina la dimensión de Disponibilidad, que junto con las dimensiones CITA establece la categoría del sistema (Básica, Media o Alta).

¿Es obligatorio el BIA para certificarse en el ENS?

Sí. El Real Decreto 311/2022 exige determinar la categoría del sistema antes de aplicar las medidas de seguridad del Anexo II. La Guía CCN-STIC 803 establece que el BIA es el método para calcular la Disponibilidad, una de las 5 dimensiones que determinan la categoría.

¿Cuál es la diferencia entre el BIA y el Análisis de Riesgos MAGERIT?

El BIA evalúa el impacto de la indisponibilidad de los servicios para determinar la categoría del sistema, es el primer paso. El Análisis de Riesgos MAGERIT se realiza después: identifica amenazas concretas, calcula la probabilidad de que ocurran y determina qué controles adicionales son necesarios. El BIA responde '¿qué tan crítico es mi sistema?'; MAGERIT responde '¿qué puede salir mal y cómo lo prevengo?'.

¿Qué son las dimensiones CITA?

CITA son las 4 dimensiones de seguridad que se evalúan por cada activo de información: Confidencialidad (¿quién puede acceder?), Integridad (¿se puede alterar?), Trazabilidad (¿se puede saber quién hizo qué?) y Autenticidad (¿es quien dice ser?). Junto con la Disponibilidad (calculada por el BIA), forman las 5 dimensiones que determinan la categoría del sistema.

¿Cuánto cuesta usar la herramienta de BIA de esquema.dev?

El análisis de impacto (BIA) y la categorización del sistema son completamente gratuitos, sin necesidad de registro. Puedes generar servicios y activos con IA, completar la matriz de impacto, calcular el RTO y obtener la categoría final sin coste alguno.

¿Con qué frecuencia hay que actualizar el BIA?

Se recomienda revisar el BIA anualmente o cuando haya cambios significativos en los servicios, procesos o estructura organizativa. También debe actualizarse si cambia el alcance del sistema o se incorporan nuevos servicios críticos.

Guías relacionadas

Cómo realizar un BIA paso a paso

Guía práctica

Guía práctica para completar el BIA según los requisitos del ENS y determinar el RTO de tus servicios.

Categorización de sistemas ENS

Fundamentos

Entiende cómo se determina la categoría de un sistema (básico, medio, alto) según las 5 dimensiones de seguridad.

Dimensiones CITA: qué son y cómo evaluarlas

Valoración

Aprende a valorar Confidencialidad, Integridad, Trazabilidad y Autenticidad de tus activos de información.

¿Listo para categorizar tu sistema?

Realiza el BIA completo con IA en minutos, gratis, sin registro

Hacer mi BIA gratis