Pasos clave para hacer un BIA efectivo

Cursos Empresas Blog Live Conf Precios

Contenido del curso

Importancia de la seguridad de la información

Componentes clave de un programa de seguridad de la información

Gestión de riesgos

Continuidad del negocio

Software seguro

Diseño del equipo

Caso de estudio Platzi

19
Certificación ISO 27001: Implementación y Mejora Continua en Platzi
08:39 min

Tomar examen

Pasos clave para hacer un BIA efectivo

Resumen

El análisis de impacto al negocio, conocido como BIA por sus siglas en inglés, te ayuda a identificar los recursos mínimos que tu organización necesita para seguir operando frente a una disrupción. Es una herramienta clave para profesionales de continuidad del negocio, gestión de riesgos y seguridad de la información que buscan proteger procesos críticos.

¿Qué relación tiene el BIA con el análisis de riesgo?

El BIA y el análisis de riesgo están conectados de forma directa. Cuando evalúas amenazas y sus posibles impactos, ya estás analizando interrupciones que pueden afectar al negocio. El BIA profundiza ese ejercicio.

Mientras el análisis de riesgo te dice qué controles agregar, el BIA te indica cuál es el recurso mínimo necesario para mantener operando las actividades del negocio. Uno complementa al otro.

¿Qué es un BIA en seguridad de la información? Es un análisis que identifica los procesos críticos del negocio, su tiempo de recuperación y los recursos mínimos (humanos y tecnológicos) que se necesitan para seguir operando ante una interrupción.

¿Cuáles son los pasos para realizar un análisis de impacto al negocio?

El proceso sigue una lógica similar al análisis de riesgo: acotas, priorizas y documentas. Te lo explico paso a paso.

¿Cómo determinar los procesos críticos y su tiempo de recuperación?

El primer paso es determinar los procesos de negocio y la criticidad de su recuperación. Igual que cuando gestionas riesgos, acotas el ejercicio: te concentras en los procesos críticos, no en todos.

Cada proceso debe tener:

Un nivel de criticidad definido.
Un tiempo de recuperación establecido.
Recursos computacionales asociados.
Recursos humanos identificados.

¿Cómo identificar los recursos mínimos necesarios?

El segundo paso es identificar los recursos mínimos, tanto computacionales como humanos. Te recomiendo construir una tabla por cada custodio o propietario de los sistemas de información.

En el documento de recuperación o plan de continuidad, declaras que ante un incidente disruptivo necesitas mínimamente:

Aplicaciones.
Bases de datos.
Documentos.
Equipo informático.
Personas responsables del recurso.
Colaboradores mínimos para operar la función.

El responsable de cada recurso es quien debe identificar a su equipo mínimo operativo. Ese detalle marca la diferencia cuando se activa una contingencia.

¿Cómo priorizar la recuperación de procesos?

El tercer paso es identificar las prioridades de recuperación, y aquí no hay receta universal. Cada organización define su orden según su realidad operativa.

El criterio que te recomiendo: levanta primero los procesos con mayor dependencia, es decir, aquellos de los que dependen muchos otros. Deja de último los procesos más independientes. El caso de uso y el escenario del negocio guían la decisión.

¿Qué debe contener un plan de continuidad del negocio?

La salida más importante del BIA es el plan. Ese plan debe pasar por evaluación, pruebas y certificación, no quedarse archivado en una carpeta.

Una estructura básica incluye:

Propósito del plan.
Alcance.
Responsables asignados.
Autoridades a las que acudir ante un evento catastrófico.
Personas autorizadas para comunicar en redes sociales o de forma privada con stakeholders.
Procedimiento de reactivación de actividades.

¿Quién activa un plan de continuidad? Una persona designada con autoridad formal. Es quien declara la contingencia y autoriza usar el recurso mínimo. Esa misma persona suele ser quien anuncia el regreso a la operación normal.

Ese rol es más crítico de lo que parece. Sin alguien que diga estamos en contingencia, el equipo no sabe cuándo cambiar al modo de recursos mínimos.

¿Por qué hay que divulgar y entrenar el plan?

Un plan que nadie conoce no sirve. Tienes que divulgarlo a las partes interesadas y al equipo de reacción inmediata, entrenarlos y revisar que todos los documentos y procesos sean claros para atender una emergencia.

Hablar de continuidad del negocio significa ejercitarse: ejercitar la memoria, ejercitar al equipo, practicar el plan. Esa es la única forma de reaccionar con eficiencia cuando aparece una disrupción real.

¿Cuál es la diferencia entre análisis de riesgo y BIA? El análisis de riesgo identifica amenazas y define controles para mitigarlas. El BIA toma esos riesgos y define los recursos mínimos y el tiempo de recuperación necesarios para que el negocio no se detenga.

Del ejercicio completo, evaluando riesgos y construyendo planes específicos, sale lo que realmente garantiza la continuidad del negocio. ¿Tu organización ya tiene identificados sus procesos críticos y los recursos mínimos para operarlos? Cuéntame en los comentarios cómo lo están abordando.

Fernando Sánchez Mejía

Estudiante

Definiciones y términos

🌐 Regla 3,2,1 3️⃣ 2️⃣1️⃣

La Regla 3,2,1 es una práctica recomendada para la protección de información crítica. Esta regla establece que se deben tener:

3 respaldos de los datos. 📂📂📂
Almacenar los respaldos en 2 sitios distintos. 🏠🌍
Mantener al menos 1 respaldo fuera de línea. 🚫💻

Esta regla contribuye a la continuidad de negocio y la recuperación ante desastres al garantizar redundancia, distribución geográfica y la posibilidad de restauración incluso si hay problemas en línea.

Cuando se evalúa la continuidad de negocio, se realiza un análisis de riesgos, se evalúa la efectividad de los controles y se determinan los recursos mínimos necesarios para que los procesos de negocio sigan operando en caso de un evento catastrófico. Esto se traduce en la elaboración de un plan de contingencia.

🌋 Recuperación ante Desastres 🌋

La recuperación ante desastres asume la pérdida completa de datos y se enfoca en cómo recuperarse de este escenario. Estos planes requieren práctica y deben incluir la prueba, revisión y validación de los respaldos para asegurar la capacidad de restaurar el sistema desde ellos sin corrupción.

Recuerda: La ley de Morphy, si algo puede salir mal, saldrá mal.

Los respaldos deben someterse a pruebas, revisiones y validaciones para asegurar que puedan restaurar el sistema correctamente a partir de esos respaldos y que no estén corruptos cuando se requieran. 🔄👨‍💻🔍 Esto es esencial para garantizar la eficacia de los planes de recuperación ante desastres y la continuidad de negocio. Las pruebas regulares ayudan a identificar posibles problemas y a mantener la confianza en la integridad de los datos respaldados. 🛠️🧐

Conceptos Clave

Objetivo de Tiempo de Recuperación ⏲️ (RTO)

RTO (Recovery Time Objective) es el tiempo máximo aceptable para recuperar operaciones críticas tras una interrupción. Representa el límite temporal en el cual se deben restaurar las operaciones sin incurrir en consecuencias mayores.

Objetivo del Punto de Recuperación 🎯 (RPO)

RPO (Recovery Point Objective) define la máxima pérdida de datos tolerable tras una interrupción. Indica cuánta información se puede perder a partir de los respaldos en caso de una interrupción.

Ambos objetivos (RTO y RPO) son fundamentales para entender la inversión necesaria, justificar las operaciones y proporcionar un nivel de confianza a las partes interesadas.

💭 Imagina que estás a punto de imprimir 🖨️ y presentar tu tesis 📄 📖 📖 de universidad 👨🏼‍🎓 🏛️ , la obra maestra 🖼️ que representa incontables noches 🌃 de café ☕ y desvelo 🥱 . Justo cuando te sientes invencible, 🐈‍⬛ tu gato decide hacer una "limpieza" 🧹 en tu escritorio 🖥️ y, sin previo aviso, tira una taza de café sobre tu computadora. 😱 El horror se apodera de ti al ver cómo la pantalla se llena de manchas marrones.

Aquí es donde entra el RPO y el RTO con un toque humorístico:

🎯 RPO (Recuperación de la Pérdida de la Información): El café ha arruinado parte de tu tesis, pero recuerdas que tienes un RPO de 24 horas. Te apresuras a revisar tus copias de seguridad automáticas en la nube y, alivio, encuentras una versión de tu tesis de ayer. Has evitado la tragedia de perder todo tu trabajo gracias a esas copias diarias. 🙌

⏲️ RTO (Tiempo de Recuperación Objetivo): Ahora, con tu tesis restaurada, decides tomarte un momento para procesar el incidente. Recuerdas que tu RTO es de 6 horas y te propones secar la computadora 💻 , revisar y validar la versión restaurada de la tesis en ese plazo. Mientras esperas a que la computadora se seque (y a que el gato 🐈‍⬛ se tranquilice), aprovechas para contarle a tu gato sobre la importancia de las copias de seguridad y cómo él ha sido el protagonista inesperado de tu odisea académica. 🕰️🐾

En este escenario humorístico, el RPO ha salvado tu tesis de la destrucción total, mientras que el RTO establece el límite de tiempo para recuperar tu cordura y presentar la tesis a tiempo. ¡Tu gato, sin saberlo, ha desencadenado un épico drama académico con lecciones sobre respaldo y paciencia! 😸🎓

📜 SLA (Niveles de Acuerdo de Servicio) y 📊 SLO (Niveles Operacionales de Servicio)

SLO (Service Level Objective) y SLA (Service Level Agreement) son términos relacionados pero tienen significados distintos en el contexto de la gestión de servicios.

📊 Service Level Objective (SLO):
- 📏 Un SLO es una métrica que se establece para medir el rendimiento de un servicio en función de ciertos criterios.
- Generalmente, los SLOs son definidos por el equipo interno de operaciones o desarrollo, y se utilizan para evaluar el rendimiento del servicio en términos de disponibilidad, tiempo de respuesta, o cualquier otra métrica relevante.
- Los SLOs suelen ser utilizados como herramientas internas para medir y mejorar continuamente el rendimiento del servicio.
📜 Service Level Agreement (SLA):
- Un SLA es un acuerdo formal entre un proveedor de servicios y un cliente que establece los niveles de servicio esperados y los compromisos que el proveedor debe cumplir.
- Los SLAs suelen incluir detalles específicos sobre los tiempos de actividad, tiempos de respuesta, y otros parámetros de rendimiento que son críticos para el cliente.
- En caso de que el proveedor no cumpla con los términos acordados en el SLA, puede estar sujeto a penalizaciones o compensaciones según lo estipulado en el acuerdo.

En resumen, mientras que un SLO es una métrica interna utilizada para medir el rendimiento de un servicio, un SLA es un acuerdo contractual entre un proveedor y un cliente que establece los niveles de servicio esperados y las consecuencias en caso de incumplimiento. Ambos conceptos están relacionados en la gestión de servicios, ya que los SLOs a menudo se utilizan para medir y cumplir con los compromisos establecidos en los SLAs.

Puntos de Equilibrio ⚖️

!Untitled

Los puntos de equilibrio definen la relación 💰 costo-beneficio entre los mecanismos utilizados para mitigar y respaldar datos y los niveles de 📈 tolerancia a fallos de los sistemas. Esta relación se determina según el valor, sensibilidad y criticidad de la información.

Importancia de la seguridad de la información

Implementación de un Programa de Seguridad de la Información

Seguridad de la Información: Implementación y Estrategia Empresarial

Componentes clave de un programa de seguridad de la información

Componentes Clave de un Programa de Seguridad de la Información

Elementos Clave de Políticas de Seguridad de la Información

Gestión de Incidentes: Ciclo de Vida y Mejores Prácticas

Cómo funciona CVE y CVSS en la práctica

Gestión de riesgos

Riesgo intrínseco vs residual en seguridad

Las cuatro fases de la gestión del riesgo

Evaluación de Riesgos en Seguridad de la Información

Gestión de Riesgos y Controles ISO 27001 y NIST 800-53

Continuidad del negocio

Continuidad del Negocio y Recuperación ante Desastres