Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 22

Para una función o proceso de la empresa, el activo esencial será la propia información, es decir, los datos. Pero los datos solo existen en dependencia con otros activos, como los servicios (que se prestan gracias a los datos, o que son necesarios para producirlos), las aplicaciones (que procesan los datos), los equipos (que ejecutan las aplicaciones), los soportes (que almacenan los datos), las redes de comunicaciones (que transmiten los datos), las instalaciones (que albergan los equipos), y las personas (que operan los datos). Es habitual construir arboles de dependencia, que ilustren cómo un activo depende de otros para su correcto funcionamiento. La dependencia provoca así que el impacto y riesgo de los activos o componentes integrantes se vaya acumulando hacia el activo principal integrador, bajo estudio. La evaluación de riesgos para los equipos informáticos que intervengan en esas funciones vitales, permitirá conocer el coste de recuperación del servicio. En general, existirán salvaguardas de diferentes precios, que conducirán a diferentes tiempos de recuperación. Minimizando el coste total (suma del coste de la parada del servicio y del coste de la recuperación), se determina el tiempo de recuperación, las salvaguardas a implementar, y otros requerimientos de seguridad.

Del BIA se obtienen resultados de muchísimo valor: conocer cuáles son los activos informáticos que intervienen en los procesos críticos del negocio, ser capaces de evaluar su impacto, y conocer cuáles son los requisitos de seguridad para estos activos (tiempo objetivo de restablecimiento, qué salvaguardas planificadas que se deben aplicar, etc.). Evidentemente, si en la empresa ya existen análisis de riesgos, el BIA se realiza partiendo de esos datos. El BIA es el estudio de las consecuencias que tendría en el negocio en una parada de sus procesos vitales por un determinado tiempo: qué hay que recuperar, cuánto cuesta hacerlo, y cómo hay que recuperarlo. Este en un enfoque muy adecuado para identificar riesgos, logrando aplicar recursos de manera proporcional, minimizando el riesgo, y con un óptimo retorno de la inversión.

El punto de partida del BIA es identificar los procesos de negocio y su criticidad. Una vez que se limite el estudio a las funciones vitales, se analizarán los activos involucrados, y de los que depende el desempeño de dichas funciones vitales. El BIA permite así descubrir componentes frecuentemente olvidados, pero importantes para las funciones o procesos críticos del negocio.

Nota

El BIA es una herramienta para elaborar el plan de continuidad de la empresa (o BCP, por las iniciales de Business Continuity Plan).

Frecuentemente, el BCP incluirá un plan para la recuperación de desastres (o DRP, por las iniciales de Disaster Recovery Plan).

Dentro de una empresa, la realización de un BCP debe incluir no solo los aspectos de la información, sino todas las facetas que se necesitan para la actividad de la empresa (instalaciones, contratos, seguros, financiación, clientes, stock de productos, etc.).

Existen 3 técnicas generalmente aceptadas para enumerar los procesos de negocio soportados por sistemas de información, junto a su criticidad, y coste de interrupción:

1 Formularios.

2 Entrevistas a los usuarios avanzados o dueños de los procesos.

3 Reuniones entre personal de TIC y los usuarios avanzados.