José Francisco Giménez Albacete - Seguridad en equipos informáticos. IFCT0510

RPO es el objetivo de punto de recuperación, y representa el último instante de tiempo previo al incidente al que los sistemas son capaces de regresar. Vendrá dado. por ejemplo, por la frecuencia con que se realicen copias de seguridad.

Nota

RTO es el objetivo de tiempo de recuperación, y representa el tiempo que se tarda en restablecer el servicio, al menos a los niveles mínimos acordados.

Desde que se produce un incidente, hasta que se restablece el servicio, pasa un tiempo sin servicio (RTO). El servicio se recupera, pero con la información que se tenía un tiempo (RPO) previo a la ocurrencia del incidente. El periodo de tiempo total que retrocede la empresa es RPO+RTO.

Para recoger las estrategias de recuperación, además de la información B.1, el personal de seguridad de la información puede emplear un formulario similar al siguiente:

Actividades

2. Rellene los formularios de evaluación BIA 1 y 2 para las siguientes funciones de una librería, y las estrategias de recuperación en caso de desastre, indicadas para cada proceso. Emplear solo los 4 intervalos de tiempo de la actividad anterior: una hora, un día, una semana, y dos o más semanas.

1 Venta de libros. Estrategia de recuperación: adquirir ordenadores nuevos, configurar aplicaciones, y restaurar copias de seguridad de la aplicación de venta.

2 Pedidos de material. Estrategia de recuperación: realizar inventario completo, para recuperar el stock real de material.

Para identificar los procesos de negocio soportados por sistemas de información, se puede repartir el “FORMULARIO DE EVALUACION BIA 1” a los responsables de área y analizarlos una vez rellenos.

1 El apartado A.2 permite evaluar la importancia que los usuarios entregan a la función dentro de la empresa. Sin embargo, la función podría no tener ninguna relación con los sistemas de información.

2 El apartado B.1 define el periodo de tiempo para el que el usuario está dispuesto a perder información, lo que será especialmente relevante a la hora de evaluar las posibles estrategias de recuperación. Esto indica el valor que la información, y por lo tanto de los sistemas de información que la procesan, representan en el proceso. Los procesos que tengan una valoración de ninguno para el periodo de tiempo total, son los que no tienen ninguna dependencia con los sistemas de información. En el otro extremo, cuanto mayor sea la valoración de la pérdida en cualquiera de los periodos, tanto mayor será la dependencia del proceso para con los sistemas de información.

3 El apartado B.2 ayuda a terminar de valorar la criticidad de la función, midiendo el daño que se le produce a la propia función a consecuencia de una interrupción, en función del tiempo que duren, y de 5 aspectos:El daño para cumplir la función principal. Por ejemplo, en un proceso de fabricación, pueden existir funciones que si se interrumpen más de un día, conlleven que no sea posible reiniciar la producción. Por ejemplo, en un sistema de alimentación ininterrumpido (SAI) basado en baterías de plomo cuya recarga controla un ordenador, si este no estuviera disponible durante más de 8 horas, el daño sería desastroso, ya que a las 8 horas las baterías se agotarían por completo y su capacidad se recarga quedaría extinguida.El daño financiero para la función, en términos económicos.El daño para otras funciones dependientes de esta. Esta valoración excede el ámbito de la propia área o departamento, ya que valora la dependencia general que de esta función tengan las demás funciones de la empresa.El daño que causaría, para la reputación o imagen del área o departamento que desempeña la función, la interrupción de la misma.El daño que generaría en la comodidad y nivel de satisfacción del área o departamento la interrupción de su función.

El análisis de estas tablas puede hacerse asignando valores a los niveles de cada respuesta, y calculando totales mediante operaciones de suma y resta.

Nota

El objetivo del BIA es ordenar los procesos en función de su criticidad, valorar el daño de una interrupción, y ayudar a determinar si una estrategia de recuperación es adecuada. La valoración puede hacerse de manera cuantitativa, por ejemplo con las pérdidas económicas (€) generadas por la parada; o en términos cualitativos mediante niveles tipo bajo, medio o alto. El criterio debe mantenerse ,para que futuras revisiones del BIA sean coherentes.

Por ejemplo, puede emplearse una estimación sencilla como:

Impacto RPO (B.1) = Impacto RTO (B.2) =

1 Número de apariciones de “desastre” × 10 +

2 Número de apariciones de “grave” × 5 +

3 Número de apariciones de “medio” × 2 +

4 Número de apariciones de “bajo” × 1

En este caso, se realizan entrevistas para recopilar información que posteriormente también se tabularía, y se analizaría de manera común.

Se debe disponer de un conjunto de preguntas preparadas, como las incluidas en el formulario anterior.

Una entrevista resulta adecuada cuando no haya certeza de que las preguntas previstas identifiquen todos los aspectos de valoración de la importancia de un proceso: las entrevistas dan cabida a recoger información bajo criterios desconocidos a priori.

Como herramienta de toma de información, siempre conviene acotar las entrevistas para evitar tomar una excesiva cantidad de información o consumir recursos excesivos tanto al recabar datos como al analizarlos. Así conviene tener claro las personas a las que se les realiza la entrevista (usuarios clave), el alcance de la entrevista (limitándolo a un proceso de negocio concreto), e incluso la donación de la misma (por ejemplo limitándolo a una sesión de 30 minutos).