José Francisco Giménez Albacete

Seguridad en equipos informáticos. IFCT0510


Скачать книгу

o bien para todos los de nivel máximo y mediano), de manera que las funciones no cubiertas en primera instancia, se traten en futuras iteraciones del SGSI.

      Es obligatorio considerar que, si se hubieran externalizado servicios de TI a proveedores, habría que considerar los contratos para dichos servicios, especialmente en lo referente a las obligaciones y compromisos adquiridos por el proveedor.

      No existe un formulario único, por el contrario, dependerá de cada empresa, o de lo exhaustivo que se pueda ser. Por ejemplo, si se realiza un BIA para llevar a cabo un plan de continuidad, puede ser conveniente realizar análisis cuantitativos sobre una gran cantidad de datos. Sin embargo, si el BIA se realiza para detectar los procesos de negocio críticos que precisan máxima atención cuando aún no existe ningún SGSI implantado, el método puede ser cualitativo, y recoger menos información.

Image

       Recuerde

      Las tareas de un SGSI se organizan en las cuatro fases típicas PDCA de un ciclo de mejora continua de Deming, a saber: planificar (Plan), hacer (Do), medir (Check), y corregir (Act).

      En todos los casos, la información recogida debe permitir evaluar los siguientes resultados del BIA:

      1 Cuáles son los procesos críticos, u ordenarlos por prioridad.

      2 Cuál es el daño/impacto, en función del tiempo que se tarde en restablecerse el servicio.

      3 Cuál es el coste de las diferentes estrategias de recuperación, que proporcionarán un tiempo y un punto objetivo de recuperación.

Image

       Actividades

      1. Ordene de mayor a menor criticidad los siguientes procesos o funciones de una librería.

      1 Venta de libros.

      2 Pedidos de material.

      3 Presentación de impuestos a Hacienda.

      A continuación, pensar cómo podría calcularse el coste de no poder realizar alguna de ellas, durante: una hora, un día, una semana, y dos o más semanas, y qué alternativas se podrían emplear para reanudar cada función lo antes posible.

      Para responder a las partes A y B (criticidad de las funciones, y daño de la interrupción) existirá un formulario a rellenar por los responsables del proceso. Aunque es un dato que se necesita para diseñar las estrategias de recuperación, se preguntará aquí por el daño de la información que no se pueda recuperar (B.1), ya que esta valoración debe darla el propietario de la información.

      Para responder a la parte C, referente a cómo recuperar el servicio, además de la parte B.1 del formulario anterior, se empleará otro formulario nuevo, en esta ocasión a rellenar por el personal de seguridad de la información.

      A continuación, se dan ejemplos muy sencillos de formularios posibles, para guiar el estudio de lo anterior.

FORMULARIO DE EVALUACIÓN BIA — 1 (PARA EL CLIENTE)
A.1 Función principal (qué hay que recuperar)
Área de la empresa
Número de trabajadores
Función principal única
A.2 Impacto en la empresa
Valore cuánto interviene esta función en el objetivo último de la empresaCuantitativa (1..100)Cualitativa (no sensible, sensible, vital, crítico)
Describa cómo interviene esa función en el objetivo último de la empresa…………………………………………………………………………………………… …………………………………………………………………………………………… ……………………………………………………………………………………………
B.1 Impacto en la función. (RPO) Valore la pérdida completa de información de los siguientes periodos de tiempo (ninguno, bajo, medio, grave, desastre)
10 min30 min1 h4 h8 h1 día2 d.4 d.7 d.15 d.TOTAL
B.2 Impacto en la función. (RTO) Valore el daño en la interrupción de la función durante los siguientes periodos de tiempo
Tiempo de recuperaciónDaño económico (euros) o cualitativo (ninguno, bajo, moderado, grave, desastroso) en las siguientes áreas e importancia de cada área:
Cumplir función principalFinancieroOtras funciones vinculadasReputación, imagen, confianzaSatisfacción del personal
....%....%....%....%....%
< 10 min
30 min
1 h
4 h
8 h
1 día
2 días
4 días
7 días
> 15 días
Image

       Nota

      RPO es el objetivo de punto de recuperación, y representa el último instante de tiempo previo al incidente al que los sistemas son capaces de regresar. Vendrá dado. por ejemplo, por la frecuencia con que se realicen copias de seguridad.

Image

       Nota

      RTO es el objetivo de tiempo de recuperación, y representa el tiempo que se tarda en restablecer el servicio, al menos a los niveles mínimos acordados.

image

      Desde que se produce un incidente, hasta que se restablece el servicio, pasa un tiempo sin servicio (RTO). El servicio se recupera, pero con la información que se tenía un tiempo (RPO) previo a la ocurrencia del incidente. El periodo de tiempo total que retrocede la empresa es RPO+RTO.

      Para recoger las estrategias de recuperación, además de la información B.1, el personal de seguridad de la información puede emplear un formulario similar al siguiente:

FORMULARIO DE EVALUACIÓN BIA — 2 (PARA SEGURIDAD DE LA INFORMACIÓN)
A. Recuperación (cuánto cuestan las opciones