Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 23
2.1. Formularios
ОглавлениеSe puede distribuir un formulario a todos los trabajadores, o solo a los responsables de área, en los que respondan una serie de preguntas que ayuden a identificar las funciones clave para esa área. Posteriormente, los datos se unifican y se valoran, de acuerdo con algún criterio de criticidad común que permita ordenarlos.
El BIA puede entonces proseguir, para aquellas funciones que se elijan (por ejemplo para un número fijo de procesos de negocio de mayor a menor criticidad, o bien para todos los de nivel máximo y mediano), de manera que las funciones no cubiertas en primera instancia, se traten en futuras iteraciones del SGSI.
Es obligatorio considerar que, si se hubieran externalizado servicios de TI a proveedores, habría que considerar los contratos para dichos servicios, especialmente en lo referente a las obligaciones y compromisos adquiridos por el proveedor.
No existe un formulario único, por el contrario, dependerá de cada empresa, o de lo exhaustivo que se pueda ser. Por ejemplo, si se realiza un BIA para llevar a cabo un plan de continuidad, puede ser conveniente realizar análisis cuantitativos sobre una gran cantidad de datos. Sin embargo, si el BIA se realiza para detectar los procesos de negocio críticos que precisan máxima atención cuando aún no existe ningún SGSI implantado, el método puede ser cualitativo, y recoger menos información.
Recuerde
Las tareas de un SGSI se organizan en las cuatro fases típicas PDCA de un ciclo de mejora continua de Deming, a saber: planificar (Plan), hacer (Do), medir (Check), y corregir (Act).
En todos los casos, la información recogida debe permitir evaluar los siguientes resultados del BIA:
1 Cuáles son los procesos críticos, u ordenarlos por prioridad.
2 Cuál es el daño/impacto, en función del tiempo que se tarde en restablecerse el servicio.
3 Cuál es el coste de las diferentes estrategias de recuperación, que proporcionarán un tiempo y un punto objetivo de recuperación.
Actividades
1. Ordene de mayor a menor criticidad los siguientes procesos o funciones de una librería.
1 Venta de libros.
2 Pedidos de material.
3 Presentación de impuestos a Hacienda.
A continuación, pensar cómo podría calcularse el coste de no poder realizar alguna de ellas, durante: una hora, un día, una semana, y dos o más semanas, y qué alternativas se podrían emplear para reanudar cada función lo antes posible.
Para responder a las partes A y B (criticidad de las funciones, y daño de la interrupción) existirá un formulario a rellenar por los responsables del proceso. Aunque es un dato que se necesita para diseñar las estrategias de recuperación, se preguntará aquí por el daño de la información que no se pueda recuperar (B.1), ya que esta valoración debe darla el propietario de la información.
Para responder a la parte C, referente a cómo recuperar el servicio, además de la parte B.1 del formulario anterior, se empleará otro formulario nuevo, en esta ocasión a rellenar por el personal de seguridad de la información.
A continuación, se dan ejemplos muy sencillos de formularios posibles, para guiar el estudio de lo anterior.
FORMULARIO DE EVALUACIÓN BIA — 1 (PARA EL CLIENTE) | ||||||||||
A.1 Función principal (qué hay que recuperar) | ||||||||||
Área de la empresa | ||||||||||
Número de trabajadores | ||||||||||
Función principal única | ||||||||||
A.2 Impacto en la empresa | ||||||||||
Valore cuánto interviene esta función en el objetivo último de la empresa | Cuantitativa (1..100) | Cualitativa (no sensible, sensible, vital, crítico) | ||||||||
Describa cómo interviene esa función en el objetivo último de la empresa | …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… | |||||||||
B.1 Impacto en la función. (RPO) Valore la pérdida completa de información de los siguientes periodos de tiempo (ninguno, bajo, medio, grave, desastre) | ||||||||||
10 min | 30 min | 1 h | 4 h | 8 h | 1 día | 2 d. | 4 d. | 7 d. | 15 d. | TOTAL |
B.2 Impacto en la función. (RTO) Valore el daño en la interrupción de la función durante los siguientes periodos de tiempo | ||||||||||
Tiempo de recuperación | Daño económico (euros) o cualitativo (ninguno, bajo, moderado, grave, desastroso) en las siguientes áreas e importancia de cada área: | |||||||||
Cumplir función principal | Financiero | Otras funciones vinculadas | Reputación, imagen, confianza | Satisfacción del personal | ||||||
....% | ....% | ....% | ....% | ....% | ||||||
< 10 min | ||||||||||
30 min | ||||||||||
1 h | ||||||||||
4 h | ||||||||||
8 h | ||||||||||
1 día | ||||||||||
2 días | ||||||||||
4 días | ||||||||||
7 días | ||||||||||
> 15 días |
Nota
RPO es el objetivo de punto de recuperación, y representa el último instante de tiempo previo al incidente al que los sistemas son capaces de regresar. Vendrá dado. por ejemplo, por la frecuencia con que se realicen copias de seguridad.
Nota
RTO es el objetivo de tiempo de recuperación, y representa el tiempo que se tarda en restablecer el servicio, al menos a los niveles mínimos acordados.
Desde que se produce un incidente, hasta que se restablece el servicio, pasa un tiempo sin servicio (RTO). El servicio se recupera, pero con la información que se tenía un tiempo (RPO) previo a la ocurrencia del incidente. El periodo de tiempo total que retrocede la empresa es RPO+RTO.
Para recoger las estrategias de recuperación, además de la información B.1, el personal de seguridad de la información puede emplear un formulario similar al siguiente:
FORMULARIO DE EVALUACIÓN BIA — 2 (PARA SEGURIDAD DE LA INFORMACIÓN) | ||
A. Recuperación (cuánto cuestan las opciones de restablecimiento) | ||
Nombre de la solución | ||
Tiempo objetivo de la recuperación | ||
Descripción | …………………………………………………………………………… …………………………………………………………………………… …………………………………………………………………………… | |
Para cada tiempo, identifique los elementos que deben recuperarse, y el coste aproximado de las salvaguardas para dicha recuperación. | ||
Antes de: | Hay que recuperar: | Cuánto cuesta lograrlo: |
< 10 min | ||
30 min | ||
1 h | ||
4 h | ||
8 h | ||
1 día | ||
2 días | ||
4 días | ||
7 días | ||
> 15 días |
Actividades
2. Rellene los formularios de evaluación BIA 1 y 2 para las siguientes funciones de una librería, y las estrategias de recuperación en caso de desastre, indicadas para cada proceso. Emplear solo los 4 intervalos de tiempo de la actividad anterior: una hora, un día, una semana, y dos o más semanas.
1 Venta de libros. Estrategia de recuperación: adquirir ordenadores nuevos, configurar aplicaciones, y restaurar copias de seguridad de la aplicación de venta.
2 Pedidos de material. Estrategia de recuperación: realizar inventario completo, para recuperar el stock real de material.
Para identificar los procesos de negocio soportados por sistemas de información, se puede repartir el “FORMULARIO DE EVALUACION BIA 1” a los responsables de área y analizarlos una vez rellenos.
1 El apartado A.2 permite evaluar la importancia que los usuarios entregan a la función dentro de la empresa. Sin embargo, la función podría no tener ninguna relación con los sistemas de información.
2 El apartado B.1 define el periodo de tiempo para el que el usuario está dispuesto a perder información, lo que será especialmente relevante a la hora de evaluar las posibles estrategias de recuperación. Esto indica el valor que la información, y por lo tanto de los sistemas de información que la procesan, representan en el proceso. Los procesos que tengan una valoración de ninguno para el periodo de tiempo total, son los que no tienen ninguna dependencia con los sistemas de información. En el otro extremo, cuanto mayor sea la valoración de la pérdida en cualquiera de los periodos, tanto mayor será la dependencia del proceso para con los sistemas de información.
3 El apartado B.2 ayuda a terminar de valorar la criticidad de la función, midiendo el daño que se le produce a la propia función a consecuencia de una interrupción, en función del tiempo que duren, y de 5 aspectos:El daño para cumplir la función principal. Por ejemplo, en un proceso de fabricación, pueden existir funciones que si se interrumpen más de un día, conlleven que no sea posible reiniciar la producción. Por ejemplo, en un sistema de alimentación ininterrumpido (SAI) basado en baterías de plomo cuya recarga controla un ordenador, si este no estuviera disponible durante más de 8 horas, el daño sería desastroso, ya que a las 8 horas las baterías se agotarían por completo y su capacidad se recarga quedaría extinguida.El daño financiero para la función, en términos económicos.El daño para otras funciones dependientes de esta. Esta valoración excede el ámbito de la propia área o departamento, ya que valora la dependencia general que de esta función tengan las demás funciones de la empresa.El daño que causaría, para la reputación o imagen del área o departamento que desempeña la función, la interrupción de la misma.El daño que generaría en la comodidad y nivel de satisfacción del área o departamento la interrupción de su función.
El análisis de estas tablas puede hacerse asignando valores a los niveles de cada respuesta, y calculando totales mediante operaciones de suma y resta.
Nota
El objetivo del BIA es ordenar los procesos en función de su criticidad, valorar el daño de una interrupción, y ayudar a determinar si una estrategia de recuperación es adecuada. La valoración puede hacerse de manera cuantitativa, por ejemplo con las pérdidas económicas (€) generadas por la parada; o en términos cualitativos mediante niveles tipo bajo, medio o alto. El criterio debe mantenerse ,para que futuras revisiones del BIA sean coherentes.
Por ejemplo, puede emplearse una estimación sencilla como:
Impacto RPO (B.1) = Impacto RTO (B.2) =
1 Número de apariciones de “desastre” × 10 +
2 Número de apariciones de “grave” × 5 +
3 Número de apariciones de “medio” × 2 +
4 Número de apariciones de “bajo” × 1