El Análisis de Impacto en el Negocio (BIA) es un componente esencial para la certificación según el Esquema Nacional de Seguridad. En esta guía aprenderás a realizar un BIA completo siguiendo la metodología de la Guía CCN-STIC 803.
Procedimiento completo
El siguiente diagrama muestra el flujo completo del procedimiento BIA, desde la identificación de servicios hasta el cálculo de la Disponibilidad:
Procedimiento de Análisis de Impacto (BIA)
Metodología según la Guía CCN-STIC 803 y el RD 311/2022
¿Qué es el BIA y por qué es importante?
El BIA es un proceso sistemático que permite:
- Identificar los servicios y procesos críticos de la organización
- Evaluar el impacto de su interrupción en diferentes franjas temporales
- Determinar el Tiempo de Recuperación Objetivo (RTO) de cada servicio
- Calcular la dimensión de Disponibilidad para la categorización ENS
Paso 1: Identificar los servicios
El primer paso es definir claramente los servicios que forman parte del alcance de la certificación. Según las buenas prácticas:
- Agrupa actividades relacionadas en servicios lógicos
- Combina “Diseño y Desarrollo” como un único servicio
- Mantén “Distribución” y “Soporte” como servicios separados
- No incluyas “Mantenimiento” o “Vigilancia” como servicios independientes
Ejemplo de servicios típicos
| Código | Servicio | Descripción |
|---|---|---|
| SRV.1 | Diseño y Desarrollo | Actividades de diseño, desarrollo y evolución del sistema |
| SRV.2 | Distribución | Entrega, despliegue y aprovisionamiento a clientes |
| SRV.3 | Soporte | Asistencia técnica y soporte continuo |
Paso 2: Definir las categorías de impacto
Para cada servicio, evaluaremos el impacto de su indisponibilidad en cuatro categorías:
- Imagen / Reputación: Daño a la percepción pública de la organización
- Legal / Normativo: Sanciones legales o incumplimientos normativos
- Retención de clientes: Pérdida de clientes o contratos
- Impacto financiero: Pérdidas económicas directas
Paso 3: Evaluar el impacto por franjas temporales
La clave del BIA es evaluar cómo crece el impacto con el tiempo. Las franjas temporales estándar son:
- 0-4 horas
- 4-8 horas
- 8-24 horas
- 1-3 días
- 3 días - 1 semana
- 1-2 semanas
- Más de 2 semanas
Para cada combinación de categoría y franja temporal, asigna un nivel de impacto:
| Nivel | Descripción |
|---|---|
| Sin impacto | No hay consecuencias |
| Bajo | Impacto mínimo, recuperación sencilla |
| Medio | Impacto moderado, gastos extraordinarios |
| Alto | Pérdidas significativas, sanciones |
| Crítico | Catastrófico, posible cierre |
Paso 4: Calcular el RTO
El Tiempo de Recuperación Objetivo (RTO) se determina identificando la franja temporal donde el impacto agregado pasa de “Bajo” a “Medio” o superior.
Por ejemplo, si un servicio tiene impacto “Bajo” hasta las 8 horas pero pasa a “Medio” en la franja de 8-24 horas, el RTO sería 24 horas.
Paso 5: Mapear RTO a Disponibilidad
Según la Guía CCN-STIC 803, el RTO se traduce a la dimensión de Disponibilidad:
| RTO | Disponibilidad |
|---|---|
| ≤ 4 horas | Alto |
| ≤ 24 horas | Medio |
| > 24 horas | Bajo |
Usa nuestra herramienta con IA
¿Quieres realizar tu BIA de forma guiada con borradores generados por inteligencia artificial? Nuestra herramienta gratuita te ayuda a:
- Generar automáticamente servicios y activos con IA — solo describe tu organización y el sistema genera una propuesta completa
- Evaluar el impacto de forma visual con matrices interactivas
- Calcular el RTO automáticamente
- Exportar un informe PDF profesional
Para guardar tus evaluaciones, colaborar con tu equipo y gestionar múltiples sistemas, accede a la versión completa en app.esquema.dev.
Siguientes pasos
Una vez completado el BIA y determinada la Disponibilidad de cada servicio, el siguiente paso es realizar la valoración CITA de los activos de información para completar la categorización del sistema. Después, podrás proceder al análisis de riesgos según MAGERIT 3.0.