UNIVERSIDAD NACIONAL DE CAJAMARCA

Facultad de Ingeniería
Escuela Académico Profesional Ingeniería de
Sistemas

DOCENTE:
ING. CUEVA ARAUJO PAUL OMAR
ALUMNO:
Acuña Alarcón Elmer Armando

CURSO:
GESTION DE RIESGOS Y SEGURIDAD DE LA INFORMACION

CICLO ACADEMICO:
2022- I

Acuña Alarcón Elmer Armando

INTRODUCCIÓN

La definició n del Análisis de Impacto Empresarial hace referencia a un elemento

empleado para estimar el grado de afectació n que podría padecer una empresa como
resultado de algú n incidente o desastre. También se denomina BIA y sus siglas se
corresponden en inglés con Business Impact Analysis. 
La Administració n del plan de impacto al negocio en las entidades del estado debería
contestar a una diversidad de políticas de restablecimiento de ocupaciones y servicios que
ayuden el comú n manejo de las infraestructuras de TI y minimicen al mayor las
interrupciones o fallas presentadas en la organizació n.
Las entidades tienen que permanentemente monitorear y reconocer las amenazas má s
relevantes de incidentes que perjudiquen la regular operatividad de los servicios y los
sistemas, de tal forma que se debería asegurar la continuidad del negocio por medio de
mecanismos de recuperació n antes probados y ajustados y que respondan en el período
de tiempo má s corto que se pueda a las resoluciones de los inconvenientes de interrupció n
causados.
El aná lisis de impacto en el negocio debe convertirse en una herramienta para reducir el
riesgo de que la infraestructura y los servicios de TI no estén disponibles afectando las
operaciones regulares de la organizació n, por lo que debe formar parte del sistema de
gestió n de riesgos, que se utiliza como mecanismo de control para realizar las tareas de
seguimiento de crisis, planificació n de contingencias, reembolso, así como prevenció n y
atenció n de urgencia.
No existen está ndares formales para un BIA. La metodología puede variar segú n la
organizació n. Un BIA es generalmente un proceso de varias fases. En el presente informe
para el curso de Gestió n de Riesgos y Seguridad de la Informació n, se detalla pasos
empleados por algunas entidades, las cuales detallan la forma en que se lleva a cabo un
Aná lisis de Impacto al Negocio (BIA).

Acuña Alarcón Elmer Armando

I. ASANA
Segú n la organizació n que desarrolla AZANA; la herramienta que permite gestionar el flujo
de trabajo (tareas y proyectos). Sugiere seguir los siguientes pasos: 
1. Planifica cómo realizarás el BIA.
Incluye el alcance, los objetivos y las partes interesadas con las que trabajará s. Un
plan bien redactado define un proceso claro para el BIA. Ademá s, ayuda a las
partes interesadas a entender qué tareas deben realizar y garantiza que tengas
todos los recursos que necesitas antes de comenzar.

Para que los miembros del equipo puedan encontrar la informació n que necesitan,
comprenderla y actuar de manera eficaz; Asana sugiere utilizar su software de
gestió n de proyectos para ayudarse a coordinar todo el trabajo en una herramienta
centralizada y en tiempo real.

2. Reúne la información.
Existen dos métodos comunes de recopilació n de informació n:
1) Organizar entrevistas con las partes interesadas.
2) Crear un cuestionario para el aná lisis de impacto empresarial que las partes
interesadas puedan completar de forma asincró nica.
Con un cuestionario puedes ahorrar tiempo y estandarizar los datos.

3. Analiza los datos.

Luego de recopilar la informació n sobre cada proceso de negocios, es momento de
comenzar el aná lisis. Para guiar la investigació n se tiene cuenta las siguientes
preguntas:
 ¿Qué procesos son los má s importantes para mantener tu negocio en
funcionamiento?
 ¿Qué recursos se necesitan en cada proceso para que funcione
correctamente?
 ¿Cuá nto tiempo llevará que cada proceso vuelva a su funcionamiento
normal ante una interrupció n y cuá nto dinero costará ?

4. Elabora el informe.
El informe del BIA debe incluir lo siguiente:

a) Resumen ejecutivo
b) Objetivos y alcance
c) Metodología
d) Resumen de los hallazgos
e) Desglose de los hallazgos para cada proceso, que incluye:
 Una lista con prioridades de los procesos de negocios má s
importantes
 Una explicació n de có mo una interrupció n en ese proceso podría
incidir en diferentes á reas de la empresa
 Una descripció n de cuá nto tiempo se podría tolerar la interrupció n,
que también se conoce como tiempo objetivo de recuperació n (RTO)

Acuña Alarcón Elmer Armando

  La cantidad má xima de pérdidas que la empresa podría tolerar, que
también se conoce como objetivo de punto de recuperació n (RPO)
 Una comparació n entre el costo financiero potencial de una
interrupció n y el costo de las estrategias de recuperació n
empresarial.
f) Documentos de respaldo.
g) Recomendaciones para la recuperació n.

II. SESAME

SESAME, un completo sistema informá tico mó vil que permite registrar y visualizar la
actividad de cualquier organizació n; plantea la siguiente estructuració n:

1. Recopilación de información
Este paso se centra realizar las entrevistas y encuestas que responden las
personas clave de cada departamento. Tras recabar toda la informació n,
estudiará el aná lisis de impacto empresarial del sector y los posibles impactos o
riesgos.

La informació n que recopila el documento de BIA debe incluir las siguientes

secciones:

 El nombre del proceso

 Una descripció n detallada de dó nde se realiza el proceso
 Todas las entradas y salidas en el proceso
 Recursos y herramientas que se utilizan en el proceso
 Los usuarios del proceso
 La sincronizació n
 Los impactos financieros y operativos
 Cualquier impacto regulatorio, legal o de cumplimiento

2. Identificación de las funciones y los procesos

Genera un listado con las funciones, los roles y los procesos que son claves,
siempre centrados en los objetivos y la visió n de la empresa.

3. Evaluación de impactos operacionales

En base a los factores operacionales se analiza el grado de impacto de
interrupción dentro de la organizació n. Generalmente se categorizan con tres
niveles: la operació n es crítica para el negocio, es una parte integran del
negocio, aunque no una funció n crítica y no es una parte integral. Así puedes
averiguar con gran facilidad los procesos que son críticos y los que no.

4. Establecimiento de los tiempos de recuperación

Después de calcular su importancia, evalú a la sensibilidad temporal de cada

operació n y las medidas de seguridad de los empleados. En estos casos se
establece el factor crítico del tiempo en funció n de varios indicadores:

Acuña Alarcón Elmer Armando

  El objetivo de punto de recuperación o RPO: se asocia a la pérdida
aceptable de la empresa durante el desastre.
 El objetivo de tiempo de recuperación o RTO: hace referencia a la
cantidad de tiempo que una empresa tiene que llevar a cabo para
restaurar su actividad después de un evento no deseado.
 MTD: es el tiempo má ximo tiempo de inactividad que puede soportar la
organizació n.

5. Optimización de los recursos

Se realiza un plan de recuperació n para optimizar el uso de los recursos en un
negocio. Por ello, se procede a reconocer cuales son los recursos críticos, es
decir, aquellos que son prioritarios e imprescindibles durante la etapa de
recuperació n.

6. Enumeración de procesos alternos

En este paso se enumeran procesos alternos que pueden reemplazar los
procesos que son críticos durante el tiempo de recuperació n, estas alternativas
funcionarían de forma temporal para ayudar a superar la crisis.

7. Generación de un informe de impacto de negocio

 Resumen ejecutivo
 Objetivos y alcance
 Metodologías utilizadas para recopilar datos y evaluació n
 Detalles de cada departamento: incluidos los procesos críticos, el impacto
de la interrupció n, sus prioridades, el listado de tiempos y los procesos
alternos
 Recomendaciones para la recuperació n

III. UNIVERSIDAD PILOTO DE COLOMBIA

En el trabajo de Herná ndez Ludy y Galeano Raú l de la Universidad Piloto de
Colombia brindan el siguiente esquema para elaborar un BIA:

1. Preparar el equipo de trabajo

Con el fin de preparar un buen equipo para realizar el BIA, se debe:
a) Definir los roles que tendrá cada integrante del equipo.
b) Establecer un cronograma de actividades a realizar.
c) Desarrollar el mecanismo para la recopilació n de datos.

2. Identificar los participantes del BIA

El propó sito de elegir los representantes se debe tener en cuenta que los
participantes representan a todas las funciones del negocio y que tengan un nivel
organizacional adecuado y consistente el cual sea un representante confiable.

3. Determinar el enfoque

Acuña Alarcón Elmer Armando

 Para comenzar con el desarrollo de un BIA se debe empezar por identificar todas
las unidades de negocio dentro de la organizació n ya que el diseñ o de un veía es un
proceso muy de recolecció n de informació n para esto existen algunos métodos
recomendados algunos:
a) Encuestas
b) Entrevistas
c) Sesiones de facilitación: esto me acabo de sú bito de citan problemas
para completar la recopilació n de los datos.
d) Combinación de los métodos

4. Evaluación del impacto financiero

Fase en la que se realizó una evaluació n de la magnitud y severidad de pérdidas
financieras en caso de que los procesos se alteraran por causa de un desastre.

5. Evaluación del impacto operacional

El negocio debe establecer criterios para evaluar los impactos operacionales de
cada proceso tales como flujo de caja adecuado, pérdida de confianza en inversió n,
pérdida de participació n en el mercado y competitividad, mala reputació n, servicio
inadecuado al cliente entre otras.

6. Establecimiento del tiempo de recuperación

Luego de determinar tanto el impacto financiero como el operacional de los
procesos debe realizarse una identificació n de los tiempos de recuperació n como
requisito primordial se debe tener claro el tiempo disponible para recuperarse.

MTD (Maximum Tolerable Downtime) este tiempo representa el má ximo tiempo

de inactividad que puede tolerar la organizació n sin entrar en un colapso
financiero y operacional.

7. Establecimiento de requerimientos de recursos

Identificar los recursos bá sicos indispensables para que los procesos críticos
puedan operar. de esta manera se puede definir los tiempos de recuperació n
relacionados con RTO, WTR y RPO.
RTO (Recovery Times Objetive) en vista del tiempo disponible para recuperar
sistemas que han sufrido una alteració n.
WRT (Work Recovery Time) disponible para recuperar datos perdidos una vez
que los sistemas se han reparado.
RPO (Recovery Point Objetive) se refiere a la magnitud de pérdida de datos
medida en términos de un periodo de tiempo que puede ser tolerado por un
proceso de negocios.

8. Generación del informe BIA

El informe BIA debe contener los siguientes puntos:

 Los procesos con el nivel de criticidad identificadas en la fase 3.
 La lista de los MTD y sus críticas para cada uno de sus procesos.
 El listado de los recursos TI (tecnologías de la informació n) y prioridades.
 El estado de los recursos ajenos a TI y sus prioridades.
 El listado de los RTO.
 El listado de los RPO.

Acuña Alarcón Elmer Armando

  El listado de los WRT.

CONCLUSIONES
El análisis de impacto del negocio BIA, hace parte importante del plan de continuidad del
negocio y a su vez presenta consideraciones importantes para la gestió n del riesgo dentro
de las organizaciones, que establecen un marco de políticas, procedimientos y estrategias
que permiten asegurar que las operaciones de carácter crítico puedan ser mantenidas y
recuperadas a la mayor brevedad posible, en caso de fallas graves dentro de los sistemas
de informació n y las comunicaciones.
Para la opinió n del autor, en este caso mi persona; la opció n (Metodología), para realizar
un BIA; es la del apartado segundo (El ítem II), ya que nos brinda un alcance má s detallado
y guiado acerca de có mo realizar nuestro BIA.

BIBLIOGRAFIA
ITEM (I): https://asana.com/es/resources/business-impact-analysis
ITEM (II): https://www.sesametime.com/assets/guia-basica-para-hacer-un-
analisis-de-impacto-del-negocio-desde-cero/
ITEM (III): http://polux.unipiloto.edu.co:8080/00000815.pdf

Acuña Alarcón Elmer Armando