Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 21

En el capítulo anterior, se resume como objetivo último de un SGSI asegurar la continuidad del negocio, minimizando los riesgos, y maximizando el retorno de la inversión en seguridad, a la vez que se permiten nuevas oportunidades para la empresa. La continuidad del negocio se refiere a su operación siempre que se necesite, y estará muy estrechamente relacionada con la disponibilidad de la información. Sin embargo, en la continuidad del negocio también interviene la integridad, pues la empresa no podrá operar si la información está disponible, pero no está completa ni es exacta. También se precisa de la confidencialidad, pues la operación de la empresa puede perder su valor si la información está expuesta a quien no debe conocerla.

Para asegurar la continuidad del negocio, hay que asegurar en todas sus dimensiones el sistema de información, empleando un criterio de evaluación de riesgos, con una etapa de análisis, y una etapa de gestión de riesgos. En esta evaluación del riesgo, se deben estudiar los activos que, bajo una amenaza, puedan sufrir un impacto o un daño. Si en la empresa existe un catálogo de activos, debería revisarse para confirmar que está actualizado; si no existe, habría que confeccionarlo.

También pueden concurrir circunstancias que obliguen a reducir el análisis a un conjunto mínimo de activos. En ese caso, ¿qué activos estudiar y cómo evaluar el impacto? El trabajo debe comenzar por lo más prioritario. Para asegurar la continuidad del negocio, el punto de partida recomendado es un análisis de impacto del negocio (o BIA a partir de sus iniciales en inglés, Business Impact Analysis). En el BIA se estudian los procesos o funciones vitales del negocio, que dependan en cualquier medida de los sistemas de información. Una vez identificados, se determinará el coste que supone para el negocio una interrupción de esas funciones vitales.