2. Análisis de Impacto de Negocio

En la unidad anterior, veíamos que uno de los objetivos de un Sistema Gestor de Seguridad Informática era asegurar la continuidad del negocio, minimizando los riesgos, y maximizando el retorno de la inversión en seguridad, a la vez que se permiten nuevas oportunidades para la empresa.

Esa continuidad del negocio estará muchas veces ligada con la disponibilidad, integridad y confidencialidad de la información (los 3 pilares de la seguridad).

Empleando un criterio de evaluación de riesgos, mediante una etapa de análisis y otra de gestión de esos riesgos reduciremos la probabilidad de fracaso de una empresa mientras que la protegemos. En esta evaluación del riesgo, debemos estudiar los activos de la empresa que bajo una amenaza puedan sufrir daños. En caso de no haber un catálogo de activos o este estar desactualizado, debemos elaborarlo. Además, en la situación de tener que reducir el análisis de activos al mínimo, comenzaremos por los más prioritarios.

 

Análisis de Impacto de negocios (BIA)

Volviendo a la parte de asegurar la continuidad del negocio, lo recomendable es empezar por un análisis de impacto del negocios o BIA (Business Impact Analysis).

En el BIA se estudian los procesos o funciones vitales del negocio, que dependan en cualquier medida de los sistemas de información. Una vez los tenemos identificados, pasaremos a determinar el coste que supone para el negocio una interrupción de esas funciones vitales.

En este estudio, se examinan las consecuencias que tendría en el negocio en una parada de sus procesos vitales por un determinado tiempo: qué hay que recuperar, cuánto cuesta hacerlo, y cómo hay que recuperarlo.

Los resultados del BIA aportan mucho valor, ya que con ellos se puede saber cuáles son los activos informáticos que intervienen en los procesos críticos de la organización para posteriormente evaluar su impacto.

 

El BIA sirve para determinar y evaluar los impactos potenciales de una interrupción en las operaciones comerciales críticas, debido a desastres, accidentes o emergencias.

No existe un método único para realizar un análisis de impacto empresarialPara cada negocio será más conveniente uno u otro, y cada empresa necesita personalizar su proceso de acuerdo con las necesidades únicas de su organización. Sin embargo, hay algunos componentes de un análisis de impacto empresarial que deben estar presentes para que tenga éxito.

  1. Preparación
  2. Recopilación de Información
  3. Revisión y análisis de información
  4. Creación de informes BIA
  5. Implementación de la recomendación del análisis de impacto empresarial

Entramos a detallar cada uno de los puntos.

 

Preparación

Empezamos por definir y documentar los objetivos. Los departamentos que participarán, cómo se recopilará y almacenará la información y el cronograma del proyecto deben determinarse antes de comenzar.

 

Recopilación de Información

Mediante entrevistas, formularios, cuestionarios, etc… se reúne información acerca de los procesos que componen la actividad de la empresa. Esta información se suele recopilar con entrevistas a los empleados que ejecutan y gestionan cada proceso.

 

Revisión y análisis de información

Con toda la información recopilada acerca de los procesos comerciales de la organización, podemos empezar a realizar el análisis de impacto.

Aquí determinaremos que procesos son los más críticos para el funcionamiento de la continuo de la empresa y cuales no tanto. Para ello, debemos pensar que procesos tendrían que ser los primeros en funcionar y cales podrían esperar en caso de un desastre.

También determinaremos cuales son los recurso humanos y tecnológicos necesita cada proceso para operar con éxito lo que nos servirá para tener identificados a los empleados clave para que los procesos se recuperen.

Por último, determinar el cronograma de recuperación para que el proceso vuelva a funcionar normalmente (o lo más cerca posible de la normalidad). Además, debemos considerar cuánto tiempo tomará en términos prácticos y qué tan rápido su equipo necesitará recuperar el proceso para evitar más pérdidas de reputación o monetarias .

Teniendo en cuenta lo anterior, es interesante conocer los términos RTO y RPO.

Desde que se produce un incidente, hasta que se restablece el servicio, pasa un tiempo sin servicio (RTO). El servicio se recupera, pero con la información que se tenía un tiempo (RPO) previo a la ocurrencia del incidente. El periodo de tiempo total que retrocede la empresa es RPO+RTO.

Creación de informes BIA

Ahora es el momento de preparar informe de análisis de impacto empresarial para presentarlo a la alta dirección y a otras partes interesadas en la recuperación ante desastres.

En este informe podemos incluir los siguientes puntos:

  1. Resumen ejecutivo
  2. Objetivos y alcance del análisis de impacto empresarial
  3. Metodologías utilizadas en la recopilación de información
  4. Resumen de resultados
  5. Hallazgos detallados de cada departamento, que incluyen:
    1. Los procesos o funciones más cruciales
    2. El impacto de las interrupciones en las diversas áreas del negocio
    3. La duración aceptable de la interrupción
    4. Los niveles tolerables de pérdidas
    5. Comparación entre los costos financieros potenciales y los costos estimados para las estrategias de recuperación que pueden emplearse.
  6. Documentos de respaldo para los hallazgos
  7. Recomendaciones para la recuperación

 

Implementación de la recomendación del análisis de impacto empresarial

El paso final de este proceso es implementar las recomendaciones. Una vez que su equipo haya realizado el análisis de impacto comercial y haya comunicado los hallazgos, en última instancia, depende del liderazgo actuar en consecuencia, pero su equipo puede ayudar a promover los hallazgos del análisis y alentar al liderazgo a seguir adelante con sus recomendaciones.

 

 

 

Identificación de procesos de negocio soportados por sistemas de información

El activo esencial de una empresa es la información (datos). Estos existen en dependencia con otros activos, como los servicios que prestan gracias a esos datos.

Por otra parte, tenemos las aplicaciones que trabajan o procesan esos datos, los equipos que se encargan de ejecutar esas aplicaciones, los soportes (unidades de almacenamiento), las redes que los transmiten, las instalaciones que los albergan y las personas que los albergan. Como vemos, esto se podría representar en un árbol de dependencias donde comprobamos que un activo depende de otro para si funcionamiento.

El plan de continuidad de la empresa (BCP – Bussiness Continuity Plan) se elabora a partir del BIA. Este, es  un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas parcial o totalmente interrumpidas dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.

 

Formularios

Podemos usar formularios  para conocer el papel de los sistemas de información en el negocio, su criticidad y el coste de interrupción.

Distribuyendo un formulario entre los trabajadores de una empresa ( o solo a responsables de área) en los que respondan preguntas que ayuden a identificar las funciones clave en esa área para después pasar a valorarlas y ordenarlas en función de su criticidad.

No existe un formulario único, ya que dependerá de como trabaje cada empresa o de lo exhaustivo que se quiera ser.

 

Entrevistas a usuarios clave

Otra forma de recopilar información es realizar entrevistas a trabajadores con funciones clave dentro de las funciones de la organización.

 

Reuniones entre personal de TIC

Esta técnica se puede utilizar después de obtener datos recogidos mediante formularios e implica ponerse en contacto con personal más técnico.

 

 

Valoración de los requerimientos de confidencialidad, integridad y disponibilidad de los procesos de negocio

Volvemos a ver los 3 pilares esenciales de la seguridad que en algunos ámbitos se les conoce como la triada de la seguridad o CIA por sus nombres en inglés.

  1. Disponibilidad – Que la información esté accesible cuando sea necesario.
  2. Integridad – Que la información sea exacta y completa y que nadie salvo quién esté autorizado a ello pueda modificarla.
  3. Confidencialidad – Que la información esté visible solo para quién está autorizado a ello.

 

Estos 3 pilares resumen los objetivos de la seguridad y es necesario evaluar cada uno de ellos para determinar cuáles son las salvaguardas óptimas.

 

Procesos

Dependiendo del ámbito en el que se emplee este término, la definición de proceso puede variar. Desde el punto de vista de la información, en un proceso intervienen 3 elementos: las personas, los equipos (y aplicaciones) y la información.

Aunque las posibles relaciones entre estos elemento pueden ser múltiples, en el ámbito del procesamiento de la información nos encontraremos personas que operan o manejan equipos con una información de entrada para acabar generando una información de salida o resultado.

El valor del proceso viene dado por su resultado (información de salida o resultado), y cuando existan situaciones en las que no sea posible o bien conocer o valorar la información de salida, tendremos que utilizar otro enfoque como veremos más adelante.

Ejemplos

Si estamos en una empresa en la que se fabrican productos, se indagaría hasta la información de los sistemas informáticos encargados de control de las máquinas que participan en la fabricación.

En el caso de que la empresa se encargue de entregar un servicio, el proceso terminaría en el conjunto de información que es necesario para la prestación de forma exitosa del servicio.

 

Valoración CIA de la información

Como es obvio, no toda la información tiene la misma importancia o es tan vital en un organización, por ello, es necesaria su clasificación para más tarde asignar según que recursos destinados a protegerla.

El encargado o responsable de clasificar esta información, es su propietario. Por lo general, esta clasificación debe revisarse anualmente. Las siguientes aclaraciones pueden ayudar a los propietarios a clasificar la información:

  • La información es un elemento valioso para la empresa, y su reemplazo supone un coste, esfuerzo, tiempo u otro recurso.
  • La información es un elemento concreto, definido, independiente de como se almacena o conserva.
  • La información forma parte de la empresa, y sin ella, la empresa u organización sufre un daño.

A continuación, veremos una forma de clasificación desde la perspectiva de la seguridad de la información.

 

Confidencial

La difusión incontrolada de esta información supone incumplimientos legales y de las normativas o reglamentos de la empresa.

En el caso de hacerse pública, se genera un gran daño financiero y de imagen a la empresa. En algunos casos, una filtración de esta información puede llevar a la empresa a su fin al perder la confianza por parte de sus clientes o usuarios.

Un ejemplo de esta información puede ser la filtración de contratos de clientes en los que quedan expuestos datos de carácter personal públicamente. No siempre tienen que ser datos personales, información sobre el funcionamiento de una organización o información acerca de nuevos productos también son ejemplos de información confidencial que puede ser aprovechada por la competencia o terceros maliciosos.

Algunas de las consecuencias de la difusión incontrolada de información confidencial.

 

Para la gestión de este tipo de información, se deben establecer permisos donde las personas dentro de la organización tengan acceso al mínimo conjunto de información que necesiten para realizar su trabajo, así como la necesidad de que se requiera autorización del propietario de esa información (el responsable de área por lo general).

 

Interna

La difusión incontrolada de esta información no genera un daño grave para la organización y en caso de que esta se haga pública, no genera ningún daño financiero o de imagen a la misma.

El acceso a esta información es libre para los empleados de la empresa.

Un ejemplo de esta información puede ser el material formativo de los empleados, circulares internas de la empresa, políticas de diversos aspectos de la empresa, etc…

 

Público

La difusión de esta información no genera ningún daño para la empresa de ningún tipo y no tener acceso a ella no tiene ninguna consecuencia.

El acceso a esta información es público.

Un ejemplo de esta información pueden ser las notas de prensa de una empresa, catálogos de productos, publicidad comercial, etc…

 

A continuación, vamos a ver como determinar los requisitos de seguridad de la información basándonos en sus 3 pilares principales. El nivel de seguridad, viene dado por el daño que podría general a la empresa.

 

Confidencialidad

Como sabemos, la confidencialidad esta relacionada con la autorización de la difusión de la información. Si se produce una difusión de la información no autorizada, se puede producir un daño mayor o menos y dependiendo de este daño podemos categorizar la confidencialidad de la información en:

🔴 Nivel alto: Información confidencial que sea muy sensible, de máximo valor para la empresa y solo accesible a usuarios muy concreto. Su difusión tendría impactos muy graves por repercusiones legales, pérdidas económicas, mala imagen e incluso aprovechamiento de esa información por la competencia.

🟡 Nivel medio: Información interna de la empresa como puede ser un organigrama de su funcionamiento, directorios telefónicos y que su difusión no debe ser pública. Un incidente de seguridad sobre esta tendría un impacto moderado.

🟢 Nivel bajo: Información que esté dispuesta para ser pública y que no sea sensible. Un incidente de seguridad sobre esta tendría un impacto bajo o nulo.

 

Integridad

Como sabemos, la integridad esta relacionada con la exactitud de la información. Esta exactitud o integridad se pierde cuando se realizan cambios no autorizados. Los requerimientos de integridad para la información podrían ser:

🔴 Nivel alto: Esta información no puede sufrir ningún degradación de la integridad ya que una degradación de esta información tendría un impacto en la organización desastroso.

🟡 Nivel medio: Si esta información sufriera una degradación tendría un impacto moderado.

🟢 Nivel bajo: La información puede degradarse y tendrían un impacto bajo o nulo.

 

Disponibilidad

Como sabemos, con disponibilidad nos referimos a que la información esté disponible cuando se necesite. A continuación, vemos unos periodos orientativos ordenador por niveles de requerimientos que pueden diferir en según que empresa.

🔴 Nivel alto: La información se necesita de manera continua siempre, las 24 horas los 7 días de la semana. En caso de no estar disponible, esto supondría un impacto muy grave en la empresa.

🟡 Nivel medio: La información puede no estar disponible en el periodo de 1 o 2 días. En caso de no estar disponible, esto supondría un impacto moderado en la empresa.

🟢 Nivel bajo: La información puede no estar disponible en un periodo de  hasta 7 días. En caso de no estar disponible, esto supondría un impacto bajo o nulo para la empresa.

 

 

Valoración CIA de las personas

Como sabemos, la información es manejada por las personas, por lo que es importante tener identificadas a las personas que tienen acceso a la misma. Estas personas son tanto los trabajadores dentro de la organización como personas externas a ella como proveedores o clientes con los que podemos llegar a compartirla.

Aunque no es siempre así, el responsable de identificar a las personas que acceden a la información suele ser el responsable o jefe de departamento al que está relacionada esa información.

 

Confidencialidad

Requerimientos de confidencialidad para las personas:

🔴 Nivel alto: Los incidentes de seguridad causados por una persona con un requisito de confidencialidad alto tiene un efecto grave para la empresa ya que estas personas acceden a información clasificada como confidencial o crítica.

🟡 Nivel medio: Los incidentes de seguridad causados por una persona con un requisito de seguridad medio tiene un impacto moderado para la empresa ya que estas personas acceden a información clasificada como interna.

🟢 Nivel bajo: Los incidentes de seguridad causados por una persona con un requisito de seguridad bajo tienen un impacto bajo o nulo para la empresa ya que estas personas acceden a información clasificada como pública .

 

Integridad

Requerimientos de integridad para las personas:

🔴 Nivel alto: Si ocurre un incidente de seguridad debido a que una persona modifica información calificada como confidencial esto tendría un impacto grave.

🟡 Nivel medio: Si ocurre un incidente de seguridad debido a que una persona modifica información calificada como interna tendría un impacto moderado.

🟢 Nivel bajo: Si ocurre un incidentes de seguridad debido a que una persona modifica información calificada como pública tendría un efecto nulo o bajo.

 

Disponibilidad

Requerimientos de disponibilidad para las personas:

🔴 Nivel alto: La no disponibilidad de la persona tiene un impacto grave.

🟡 Nivel medio: La no disponibilidad de la persona tiene un impacto moderado.

🟢 Nivel bajo: La no disponibilidad de la persona tiene un impacto bajo o nulo.

 

Valoración CIA de sistemas físicos, programas y servicios de soporte

Al igual que la información y las personas, también vamos a clasificar los demás componentes que intervienen en un proceso. En este apartado, vamos a centrarnos en los elementos restantes como pueden ser los equipos físicos, los programas y los servicios de soporte.

 

Confidencialidad

Requerimientos de confidencialidad para los sistemas:

🔴 Nivel alto: La información procesada, almacenada o el servicio prestado tiene un nivel de confidencialidad alto.

🟡 Nivel medio: La información procesada, almacenada o el servicio prestado tiene un nivel de confidencialidad medio.

🟢 Nivel bajo: La información procesada, almacenada o el servicio prestado tiene un nivel de confidencialidad bajo.

 

Integridad

Requerimientos de integridad para los sistemas:

🔴 Nivel alto: La confianza y fiabilidad de los servicios prestados es alta. La información procesada o almacenada tiene un nivel de integridad alto.

🟡 Nivel medio: La confianza y fiabilidad de los servicios prestados es media. La información procesada o almacenada tiene un nivel de integridad medio.

🟢 Nivel bajo: La confianza y fiabilidad de los servicios prestados es baja. La información procesada o almacenada tiene un nivel de integridad bajo.

 

Disponibilidad

Requerimientos de disponibilidad para los sistemas:

🔴 Nivel alto: La información procesada o almacenada tiene un nivel de disponibilidad alto. La no disponibilidad de los sistemas tiene un impacto grave en el proceso.

🟡 Nivel medio: La información procesada o almacenada tiene un nivel de disponibilidad medio. La no disponibilidad de los sistemas tiene un impacto moderado en el proceso.

🟢 Nivel bajo: La información procesada o almacenada tiene un nivel de disponibilidad bajo. La no disponibilidad de los sistemas tiene un impacto bajo o nulo en el proceso.

 

Algunos de los posibles elementos que intervienen en un proceso de negocio pueden ser:

  • Equipos hardware de procesamiento: servidores, estaciones de trabajo críticas, estaciones de trabajo, ordenadores portátiles, dispositivos móviles como tablet-PC, PDA, smartphones, e impresoras.
  • Soportes de información: soportes con backup de sistemas operativos y aplicaciones, soportes con backup de código fuente de programas, y soportes con backup de datos (bases de datos y archivos).
  • Equipos de comunicaciones de red: router, switcher, firewalls, líneas de comunicaciones, centralitas telefónicas, faxes, terminales telefónicos fijos, y móviles.
  • Programas: sistemas operativos, aplicaciones y utilidades, y códigos fuente de programas.
  • Servicios de soporte: Sistema eléctrico y de alimentación ininterrumpida (SAI), aire acondicionado, y elementos de fijación (armarios de rack).