José Francisco Giménez Albacete

Seguridad en equipos informáticos. IFCT0510


Скачать книгу

……………………………………………………………………………Para cada tiempo, identifique los elementos que deben recuperarse, y el coste aproximado de las salvaguardas para dicha recuperación.Antes de:Hay que recuperar:Cuánto cuesta lograrlo:< 10 min30 min1 h4 h8 h1 día2 días4 días7 días> 15 días Image

       Actividades

      2. Rellene los formularios de evaluación BIA 1 y 2 para las siguientes funciones de una librería, y las estrategias de recuperación en caso de desastre, indicadas para cada proceso. Emplear solo los 4 intervalos de tiempo de la actividad anterior: una hora, un día, una semana, y dos o más semanas.

      1 Venta de libros. Estrategia de recuperación: adquirir ordenadores nuevos, configurar aplicaciones, y restaurar copias de seguridad de la aplicación de venta.

      2 Pedidos de material. Estrategia de recuperación: realizar inventario completo, para recuperar el stock real de material.

      Para identificar los procesos de negocio soportados por sistemas de información, se puede repartir el “FORMULARIO DE EVALUACION BIA 1” a los responsables de área y analizarlos una vez rellenos.

      1 El apartado A.2 permite evaluar la importancia que los usuarios entregan a la función dentro de la empresa. Sin embargo, la función podría no tener ninguna relación con los sistemas de información.

      2 El apartado B.1 define el periodo de tiempo para el que el usuario está dispuesto a perder información, lo que será especialmente relevante a la hora de evaluar las posibles estrategias de recuperación. Esto indica el valor que la información, y por lo tanto de los sistemas de información que la procesan, representan en el proceso. Los procesos que tengan una valoración de ninguno para el periodo de tiempo total, son los que no tienen ninguna dependencia con los sistemas de información. En el otro extremo, cuanto mayor sea la valoración de la pérdida en cualquiera de los periodos, tanto mayor será la dependencia del proceso para con los sistemas de información.

      3 El apartado B.2 ayuda a terminar de valorar la criticidad de la función, midiendo el daño que se le produce a la propia función a consecuencia de una interrupción, en función del tiempo que duren, y de 5 aspectos:El daño para cumplir la función principal. Por ejemplo, en un proceso de fabricación, pueden existir funciones que si se interrumpen más de un día, conlleven que no sea posible reiniciar la producción. Por ejemplo, en un sistema de alimentación ininterrumpido (SAI) basado en baterías de plomo cuya recarga controla un ordenador, si este no estuviera disponible durante más de 8 horas, el daño sería desastroso, ya que a las 8 horas las baterías se agotarían por completo y su capacidad se recarga quedaría extinguida.El daño financiero para la función, en términos económicos.El daño para otras funciones dependientes de esta. Esta valoración excede el ámbito de la propia área o departamento, ya que valora la dependencia general que de esta función tengan las demás funciones de la empresa.El daño que causaría, para la reputación o imagen del área o departamento que desempeña la función, la interrupción de la misma.El daño que generaría en la comodidad y nivel de satisfacción del área o departamento la interrupción de su función.

      El análisis de estas tablas puede hacerse asignando valores a los niveles de cada respuesta, y calculando totales mediante operaciones de suma y resta.

Image

       Nota

      El objetivo del BIA es ordenar los procesos en función de su criticidad, valorar el daño de una interrupción, y ayudar a determinar si una estrategia de recuperación es adecuada. La valoración puede hacerse de manera cuantitativa, por ejemplo con las pérdidas económicas (€) generadas por la parada; o en términos cualitativos mediante niveles tipo bajo, medio o alto. El criterio debe mantenerse ,para que futuras revisiones del BIA sean coherentes.

      Por ejemplo, puede emplearse una estimación sencilla como:

      Impacto RPO (B.1) = Impacto RTO (B.2) =

      1 Número de apariciones de “desastre” × 10 +

      2 Número de apariciones de “grave” × 5 +

      3 Número de apariciones de “medio” × 2 +

      4 Número de apariciones de “bajo” × 1

image

      2.2. Entrevistas a usuarios clave

      En este caso, se realizan entrevistas para recopilar información que posteriormente también se tabularía, y se analizaría de manera común.

      Se debe disponer de un conjunto de preguntas preparadas, como las incluidas en el formulario anterior.

      Una entrevista resulta adecuada cuando no haya certeza de que las preguntas previstas identifiquen todos los aspectos de valoración de la importancia de un proceso: las entrevistas dan cabida a recoger información bajo criterios desconocidos a priori.

      Como herramienta de toma de información, siempre conviene acotar las entrevistas para evitar tomar una excesiva cantidad de información o consumir recursos excesivos tanto al recabar datos como al analizarlos. Así conviene tener claro las personas a las que se les realiza la entrevista (usuarios clave), el alcance de la entrevista (limitándolo a un proceso de negocio concreto), e incluso la donación de la misma (por ejemplo limitándolo a una sesión de 30 minutos).

Image

       Actividades

      3. Piense como acotar una entrevista para obtener información de un proceso de inventario de un supermercado.

      2.3. Reuniones entre personal de TIC y usuarios clave

      Esta técnica puede emplearse después de tener datos recogidos mediante formularios. Permite, de manera rápida, decidir el impacto de los diferentes procesos o funciones, y el tiempo de parada admisible en cada uno de ellos.

image

      El coste de la parada, normalmente aumentará con el tiempo, de manera escalonada o gradual, como en la imagen. El coste de las medidas de recuperación se comporta al revés, de manera que las medidas que proporcionan una recuperación muy rápida, normalmente serán más caras que las que recuperan el proceso en más tiempo. Sumando ambos costes, se obtendrá una curva característica en “U”, cuyo mínimo indicará el coste mínimo del incidente, y el tiempo de recuperación del proceso (RTO).

Image

       Aplicación práctica

       El proceso crítico de una empresa es la venta por internet. El BIA determina que el impacto de una parada es de 100 € a la hora.

       El personal de seguridad considera tres posibles estrategias para restablecer el servicio: