José Francisco Giménez Albacete - Seguridad en equipos informáticos. IFCT0510

Del BIA se obtienen resultados de muchísimo valor: conocer cuáles son los activos informáticos que intervienen en los procesos críticos del negocio, ser capaces de evaluar su impacto, y conocer cuáles son los requisitos de seguridad para estos activos (tiempo objetivo de restablecimiento, qué salvaguardas planificadas que se deben aplicar, etc.). Evidentemente, si en la empresa ya existen análisis de riesgos, el BIA se realiza partiendo de esos datos. El BIA es el estudio de las consecuencias que tendría en el negocio en una parada de sus procesos vitales por un determinado tiempo: qué hay que recuperar, cuánto cuesta hacerlo, y cómo hay que recuperarlo.Este en un enfoque muy adecuado para identificar riesgos, logrando aplicar recursos de manera proporcional, minimizando el riesgo, y con un óptimo retorno de la inversión.

El punto de partida del BIA es identificar los procesos de negocio y su criticidad. Una vez que se limite el estudio a las funciones vitales, se analizarán los activos involucrados, y de los que depende el desempeño de dichas funciones vitales. El BIA permite así descubrir componentes frecuentemente olvidados, pero importantes para las funciones o procesos críticos del negocio.

Nota

El BIA es una herramienta para elaborar el plan de continuidad de la empresa (o BCP, por las iniciales de Business Continuity Plan).

Frecuentemente, el BCP incluirá un plan para la recuperación de desastres (o DRP, por las iniciales de Disaster Recovery Plan).

Dentro de una empresa, la realización de un BCP debe incluir no solo los aspectos de la información, sino todas las facetas que se necesitan para la actividad de la empresa (instalaciones, contratos, seguros, financiación, clientes, stock de productos, etc.).

Existen 3 técnicas generalmente aceptadas para enumerar los procesos de negocio soportados por sistemas de información, junto a su criticidad, y coste de interrupción:

1 Formularios.

2 Entrevistas a los usuarios avanzados o dueños de los procesos.

3 Reuniones entre personal de TIC y los usuarios avanzados.

Se puede distribuir un formulario a todos los trabajadores, o solo a los responsables de área, en los que respondan una serie de preguntas que ayuden a identificar las funciones clave para esa área. Posteriormente, los datos se unifican y se valoran, de acuerdo con algún criterio de criticidad común que permita ordenarlos.

El BIA puede entonces proseguir, para aquellas funciones que se elijan (por ejemplo para un número fijo de procesos de negocio de mayor a menor criticidad, o bien para todos los de nivel máximo y mediano), de manera que las funciones no cubiertas en primera instancia, se traten en futuras iteraciones del SGSI.

Es obligatorio considerar que, si se hubieran externalizado servicios de TI a proveedores, habría que considerar los contratos para dichos servicios, especialmente en lo referente a las obligaciones y compromisos adquiridos por el proveedor.

No existe un formulario único, por el contrario, dependerá de cada empresa, o de lo exhaustivo que se pueda ser. Por ejemplo, si se realiza un BIA para llevar a cabo un plan de continuidad, puede ser conveniente realizar análisis cuantitativos sobre una gran cantidad de datos. Sin embargo, si el BIA se realiza para detectar los procesos de negocio críticos que precisan máxima atención cuando aún no existe ningún SGSI implantado, el método puede ser cualitativo, y recoger menos información.

Recuerde

Las tareas de un SGSI se organizan en las cuatro fases típicas PDCA de un ciclo de mejora continua de Deming, a saber: planificar (Plan) , hacer (Do) , medir (Check), y corregir (Act).

En todos los casos, la información recogida debe permitir evaluar los siguientes resultados del BIA:

1 Cuáles son los procesos críticos, u ordenarlos por prioridad.

2 Cuál es el daño/impacto, en función del tiempo que se tarde en restablecerse el servicio.

3 Cuál es el coste de las diferentes estrategias de recuperación, que proporcionarán un tiempo y un punto objetivo de recuperación.

Actividades

1. Ordene de mayor a menor criticidad los siguientes procesos o funciones de una librería.

1 Venta de libros.

2 Pedidos de material.

3 Presentación de impuestos a Hacienda.

A continuación, pensar cómo podría calcularse el coste de no poder realizar alguna de ellas, durante: una hora, un día, una semana, y dos o más semanas, y qué alternativas se podrían emplear para reanudar cada función lo antes posible.

Para responder a las partes A y B (criticidad de las funciones, y daño de la interrupción) existirá un formulario a rellenar por los responsables del proceso. Aunque es un dato que se necesita para diseñar las estrategias de recuperación, se preguntará aquí por el daño de la información que no se pueda recuperar (B.1), ya que esta valoración debe darla el propietario de la información.

Para responder a la parte C, referente a cómo recuperar el servicio, además de la parte B.1 del formulario anterior, se empleará otro formulario nuevo, en esta ocasión a rellenar por el personal de seguridad de la información.

A continuación, se dan ejemplos muy sencillos de formularios posibles, para guiar el estudio de lo anterior.

Nota