ISO 22301

Análisis de impacto en el negocio BIA según ISO 22301

Por Equipo GRC360 20 de March, 2026 12 min de lectura
Análisis de impacto en el negocio BIA ISO 22301

El Análisis de Impacto en el Negocio (BIA, Business Impact Analysis) es el fundamento sobre el cual se construye todo el Sistema de Gestión de Continuidad de Negocio según ISO 22301. Sin un BIA bien realizado, los planes de continuidad se basan en suposiciones en lugar de datos, y los recursos se asignan sin criterio de prioridad. El BIA responde a la pregunta más importante de la continuidad: ¿qué actividades son realmente críticas y cuánto tiempo podemos tolerar su interrupción?

¿Qué es el BIA?

ISO 22301 define el BIA como el proceso de analizar las actividades y el efecto que una interrupción del negocio podría tener sobre ellas. El BIA identifica las actividades que soportan la entrega de productos y servicios de la organización, evalúa el impacto que tendría la interrupción de cada actividad en el tiempo, establece plazos priorizados para la reanudación de actividades y determina las dependencias y recursos necesarios para la recuperación.

Conceptos temporales clave

ConceptoSiglaDefiniciónEjemplo
Periodo Máximo Tolerable de InterrupciónMTPDTiempo máximo que la actividad puede estar interrumpida antes de que el impacto sea inaceptable72 horas para producción; 4 horas para atención de emergencias
Objetivo de Tiempo de RecuperaciónRTOTiempo objetivo para restablecer la actividad después de la interrupción24 horas (debe ser menor que el MTPD)
Objetivo de Punto de RecuperaciónRPOMáxima pérdida de datos tolerable, medida en tiempoRPO de 1 hora = máximo 1 hora de datos perdidos
Nivel Mínimo de Continuidad de NegocioMBCONivel mínimo de servicio aceptable durante la recuperación50% de la capacidad normal durante las primeras 48 horas

Metodología del BIA

Paso 1: Identificar actividades y procesos

Documenta todas las actividades y procesos de la organización. Para cada uno, identifica los productos o servicios que soporta, los clientes internos y externos que atiende, los recursos que requiere (personas, tecnología, instalaciones, proveedores) y las dependencias con otras actividades.

Paso 2: Evaluar el impacto de la interrupción

Para cada actividad, evalúa el impacto de su interrupción en múltiples dimensiones y a lo largo del tiempo. Las dimensiones de impacto incluyen impacto financiero, impacto regulatorio y legal, impacto en clientes, impacto reputacional e impacto en seguridad de las personas.

Es fundamental evaluar cómo el impacto escala con el tiempo. Una interrupción de 2 horas puede ser tolerable; una de 48 horas puede ser catastrófica.

Paso 3: Determinar tiempos de recuperación

Con base en el análisis de impacto, establece el MTPD y el RTO para cada actividad. El MTPD se determina por el nivel de impacto máximo aceptable; el RTO se fija como un tiempo objetivo menor al MTPD para tener margen de seguridad.

Paso 4: Identificar dependencias y recursos críticos

Para cada actividad crítica, documenta los recursos sin los cuales no puede operar: personas clave, sistemas de TI, instalaciones, proveedores, servicios públicos (electricidad, agua, telecomunicaciones) e información y documentación.

Paso 5: Priorizar actividades

Clasifica las actividades según su criticidad temporal. Las actividades con MTPD más cortos son las más críticas y deben priorizarse en los planes de continuidad y en la asignación de recursos de recuperación.

Error frecuente: Realizar el BIA como ejercicio de escritorio sin involucrar a los responsables de cada proceso. El BIA requiere información detallada que solo los dueños de proceso pueden proporcionar. Un BIA realizado sin su participación será incompleto e inexacto.

El BIA como input para otros procesos

Los resultados del BIA alimentan directamente:

  • Estrategias de continuidad: el BIA define qué debe recuperarse y en qué plazo
  • Planes de continuidad: los procedimientos se diseñan para cumplir los RTO
  • Inversiones en resiliencia: justifica inversiones en redundancia, respaldos y sitios alternativos
  • Gestión de proveedores: identifica proveedores críticos que requieren planes de contingencia
  • Recuperación de TI: el RPO y RTO de sistemas definen la estrategia de respaldo y recuperación

Si tu organización gestiona seguridad de la información con ISO 27001, el BIA complementa el análisis de riesgos al cuantificar el impacto de la pérdida de disponibilidad.

Buena práctica: Actualiza el BIA al menos anualmente o cuando ocurran cambios significativos en la organización (nuevos productos, cambio de proveedores, reorganización, nueva tecnología). Un BIA desactualizado genera planes de continuidad que no reflejan la realidad actual.

Realiza tu BIA con GRC360

GRC360 te permite documentar actividades, evaluar impactos, definir tiempos de recuperación, mapear dependencias y generar reportes priorizados para alimentar tus planes de continuidad.

Crear Cuenta Gratis

Continúa con ISO 22301, plan de continuidad de negocio y estrategias de recuperación.

Continuidad de Negocio ISO 22301 Resiliencia
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis