2 Una contramedida que reduce un riesgo pero que tiene un precio alto.
3 Cuando es muy bajo, se puede asumir el riesgo sin hacer nada, y sin ser necesario informar a la Dirección.
8. Indique si es o no necesario verificar:
1 La temperatura máxima a la que pueden funcionar los ordenadores.
2 El nivel de tensión eléctrica que llega habitualmente al CPD.
3 El grosor de los paramentos del CPD y su construcción.
4 La existencia de pasos bajo el falso techo, entre el CPD y los recintos anexos.
9. Indique una salvaguarda preventiva ante amenaza de inundaciones, y una reactiva.
10. Indique 5 salvaguardas ante el riesgo de incendios en el CPD.
11. Indique 3 salvaguardas ante la difusión de software dañino.
12. ¿Qué contraseña será más compleja, una que tenga 5 dígitos, o una que tenga 3 caracteres usando mayúsculas o minúsculas?
13. Dibuje el diagrama de mejora continua de Deming.
14. ¿Cuáles de las siguientes salvaguardas no protegen a la información frente a la amenaza específica de los trabajadores?
1 Clausulas de responsabilidades legales en los contratos.
2 Un sistema de identificación y autenticación de usuarios.
3 Investigar los antecedentes.
15. Un SGSI...
1 ... permite implantar medidas de seguridad concretas para una amenaza.
2 ... corrige errores de implantación en las medidas de seguridad.
3 ... puede considerar los datos de carácter ético y cultural de la empresa.
Capítulo 2
Análisis de impacto de negocio
1. Introducción
En el capítulo anterior, se resume como objetivo último de un SGSI asegurar la continuidad del negocio, minimizando los riesgos, y maximizando el retorno de la inversión en seguridad, a la vez que se permiten nuevas oportunidades para la empresa. La continuidad del negocio se refiere a su operación siempre que se necesite, y estará muy estrechamente relacionada con la disponibilidad de la información. Sin embargo, en la continuidad del negocio también interviene la integridad, pues la empresa no podrá operar si la información está disponible, pero no está completa ni es exacta. También se precisa de la confidencialidad, pues la operación de la empresa puede perder su valor si la información está expuesta a quien no debe conocerla.
Para asegurar la continuidad del negocio, hay que asegurar en todas sus dimensiones el sistema de información, empleando un criterio de evaluación de riesgos, con una etapa de análisis, y una etapa de gestión de riesgos. En esta evaluación del riesgo, se deben estudiar los activos que, bajo una amenaza, puedan sufrir un impacto o un daño. Si en la empresa existe un catálogo de activos, debería revisarse para confirmar que está actualizado; si no existe, habría que confeccionarlo.
También pueden concurrir circunstancias que obliguen a reducir el análisis a un conjunto mínimo de activos. En ese caso, ¿qué activos estudiar y cómo evaluar el impacto? El trabajo debe comenzar por lo más prioritario. Para asegurar la continuidad del negocio, el punto de partida recomendado es un análisis de impacto del negocio (o BIA a partir de sus iniciales en inglés, Business Impact Analysis). En el BIA se estudian los procesos o funciones vitales del negocio, que dependan en cualquier medida de los sistemas de información. Una vez identificados, se determinará el coste que supone para el negocio una interrupción de esas funciones vitales.
2. Identificación de procesos de negocio soportados por sistemas de información
Para una función o proceso de la empresa, el activo esencial será la propia información, es decir, los datos. Pero los datos solo existen en dependencia con otros activos, como los servicios (que se prestan gracias a los datos, o que son necesarios para producirlos), las aplicaciones (que procesan los datos), los equipos (que ejecutan las aplicaciones), los soportes (que almacenan los datos), las redes de comunicaciones (que transmiten los datos), las instalaciones (que albergan los equipos), y las personas (que operan los datos). Es habitual construir arboles de dependencia, que ilustren cómo un activo depende de otros para su correcto funcionamiento. La dependencia provoca así que el impacto y riesgo de los activos o componentes integrantes se vaya acumulando hacia el activo principal integrador, bajo estudio. La evaluación de riesgos para los equipos informáticos que intervengan en esas funciones vitales, permitirá conocer el coste de recuperación del servicio. En general, existirán salvaguardas de diferentes precios, que conducirán a diferentes tiempos de recuperación. Minimizando el coste total (suma del coste de la parada del servicio y del coste de la recuperación), se determina el tiempo de recuperación, las salvaguardas a implementar, y otros requerimientos de seguridad.
Del BIA se obtienen resultados de muchísimo valor: conocer cuáles son los activos informáticos que intervienen en los procesos críticos del negocio, ser capaces de evaluar su impacto, y conocer cuáles son los requisitos de seguridad para estos activos (tiempo objetivo de restablecimiento, qué salvaguardas planificadas que se deben aplicar, etc.). Evidentemente, si en la empresa ya existen análisis de riesgos, el BIA se realiza partiendo de esos datos. El BIA es el estudio de las consecuencias que tendría en el negocio en una parada de sus procesos vitales por un determinado tiempo: qué hay que recuperar, cuánto cuesta hacerlo, y cómo hay que recuperarlo. Este en un enfoque muy adecuado para identificar riesgos, logrando aplicar recursos de manera proporcional, minimizando el riesgo, y con un óptimo retorno de la inversión.
El punto de partida del BIA es identificar los procesos de negocio y su criticidad. Una vez que se limite el estudio a las funciones vitales, se analizarán los activos involucrados, y de los que depende el desempeño de dichas funciones vitales. El BIA permite así descubrir componentes frecuentemente olvidados, pero importantes para las funciones o procesos críticos del negocio.
Nota
El BIA es una herramienta para elaborar el plan de continuidad de la empresa (o BCP, por las iniciales de Business Continuity Plan).
Frecuentemente, el BCP incluirá un plan para la recuperación de desastres (o DRP, por las iniciales de Disaster Recovery Plan).
Dentro de una empresa, la realización de un BCP debe incluir no solo los aspectos de la información, sino todas las facetas que se necesitan para la actividad de la empresa (instalaciones, contratos, seguros, financiación, clientes, stock de productos, etc.).
Existen 3 técnicas generalmente aceptadas para enumerar los procesos de negocio soportados por sistemas de información, junto a su criticidad, y coste de interrupción:
1 Formularios.
2 Entrevistas a los usuarios avanzados o dueños de los procesos.
3 Reuniones entre personal de TIC y los usuarios avanzados.
2.1. Formularios
Se puede distribuir un formulario a todos los trabajadores, o solo a los responsables de área, en los que respondan una serie de preguntas que ayuden a identificar las funciones clave para esa área. Posteriormente, los datos