Documente Academic
Documente Profesional
Documente Cultură
Anlisis de Impacto de
Negocios BIA
Gua No 11
HISTORIA
VERSIN
FECHA
CAMBIOS INTRODUCIDOS
1.0.0
2.0.0
TABLA DE CONTENIDO
PG.
1. DERECHOS DE AUTOR................................................5
2. GLOSARIO........................................................... 6
3. INTRODUCCIN...................................................... 8
4. OBJETIVO GENERAL................................................. 10
5. FASES DEL PLAN DE CONTINUIDAD DEL NEGOCIO....................11
5.1 FASE DE ANLISIS DE IMPACTO DEL NEGOCIO (BIA).................12
5.1.1MTODOS PARA LA OBTENCIN DE INFORMACIN.................13
5.1.2REQUERIMIENTOS DE TIEMPO DE RECUPERACIN................14
5.1.3METODOLOGA DEL ANLISIS DE IMPACTO DEL NEGOCIO..........14
5.1.3.1
5.1.3.2
5.1.3.3
5.1.3.4
5.1.3.5
IDENTIFICACIN DE RECURSOS.............................18
5.1.3.6
DISPOSICIN DE LOS RTO/RPO (RECOVERY TIME OBJECTIVE /
RECOVERY POINT OBJECTIVE)..................................... 19
5.1.3.7
5.1.3.8
LISTA DE TABLAS
PG.
Tabla 1. Valoracin Operacional por Niveles de Criticidad......................................17
Tabla 2. Identificacin de Procesos Crticos............................................................18
Tabla 3. Descripcin de Tiempos de Recuperacin................................................19
Tabla 4. Prioridades de Recuperacin.....................................................................20
Tabla 5. Identificacin de Recursos Crticos de Sistemas de TI.............................21
Tabla 6. Valores RTO y WRT por cada Proceso Crtico..........................................22
Tabla 7. Clasificacin por Categorias de Escenarios de Riesgo.............................25
Tabla 8. Amenazas y Vulnerabilidades por Activos de Informacin........................27
1. DERECHOS DE AUTOR
Este documento es derecho reservado por parte del Ministerio de Tecnologas de
la Informacin y las Comunicaciones, por medio de la Direccin de Estndares y
Arquitectura de Tecnologas de la Informacin y la Subdireccin de Seguridad y
Privacidad de TI
2. GLOSARIO
Activo
En relacin con la seguridad de la informacin se refiere a cualquier informacin o
elemento relacionado con el tratamiento de la misma (sistemas, soportes,
edificios, personas) que tenga valor para la organizacin. (ISO/IEC 27000).
Amenazas
Causa potencial de un incidente no deseado, que puede provocar daos a un
sistema o a la organizacin. (ISO/IEC 27000).
Anlisis del impacto del negocio
Proceso del anlisis de actividades y el efecto que una interrupcin del negocio
podra tener sobre ellas. (ISO 22301)
Anlisis de Riesgo
Proceso para comprender la naturaleza del riesgo y determinar el nivel de riesgo.
(ISO/IEC 27000).
Auditora
Proceso sistemtico, independiente y documentado para obtener evidencias de
auditoria y obviamente para determinar el grado en el que se cumplen los criterios
de auditoria. (ISO/IEC 27000).
Ciberseguridad
Capacidad del Estado para minimizar el nivel de riesgo al que estn expuestos sus
ciudadanos, ante amenazas o incidentes de naturaleza ciberntica. (CONPES
3701)
Ciberespacio
mbito o espacio hipottico o imaginario de quienes se encuentran inmersos en la
civilizacin electrnica, la informtica y la ciberntica. (CONPES 3701, Tomado de
la Academia de la lengua Espaola).
Seguridad de la informacin
Preservacin de la confidencialidad, integridad, y disponibilidad de la informacin.
(ISO/IEC 27000).
Sistema de Gestin de Seguridad de la Informacin SGSI
Conjunto de elementos interrelacionados o interactuantes (estructura organizativa,
polticas,
planificacin
de
actividades,
responsabilidades,
procesos,
procedimientos y recursos) que utiliza una organizacin para establecer una
poltica y unos objetivos de seguridad de la informacin y alcanzar dichos
objetivos, basndose en un enfoque de gestin y de mejora continua. (ISO/IEC
27000).
Trazabilidad
Cualidad que permite que todas las acciones realizadas sobre la informacin o un
sistema de tratamiento de la informacin sean asociadas de modo inequvoco a un
individuo o entidad. (ISO/IEC 27000).
Vulnerabilidad
Debilidad de un activo o control que puede ser explotada por una o ms
amenazas. (ISO/IEC 27000).
3. INTRODUCCIN
La Gestin del plan de impacto del negocio en las entidades del estado debe
responder a una variedad de polticas de restablecimiento de actividades y
servicios que apoyen el normal funcionamiento de las infraestructuras de TI y
minimicen al mximo las interrupciones o fallas presentadas dentro de la
organizacin.
Las entidades deben permanentemente monitorear y reconocer las amenazas
ms importantes de incidentes que afecten la normal operatividad de los servicios
y los sistemas, de tal manera que se debe garantizar la continuidad del negocio a
travs de mecanismos de recuperacin previamente probados y ajustados y que
respondan en el menor tiempo posible a las soluciones de los problemas de
interrupcin generados.
El fin de la implementacin del plan de continuidad de TI, es la proteccin y
recuperacin de los servicios crticos que se vean afectados por desastres
naturales o interrupciones del servicio ocasionadas ya sea por los sistemas de
informacin y comunicacin o ya sean por el hombre en virtud de acciones
involuntarias o para beneficio propio.
As mismo, el anlisis de impacto de negocios debe convertirse en una
herramienta para minimizar los riesgos de indisponibilidad de los servicios e
infraestructuras de TI, que afectan las operaciones regulares de las
organizaciones, por lo consiguiente debe formar parte de un sistema de gestin de
riesgos, que sea utilizado como mecanismo de control para ejecutar tareas de
monitoreo de crisis, planes de contingencia, capacidad de marcha atrs y
prevencin y atencin de emergencias.
Las entidades deben contar con un plan de continuidad de Tecnologa de
Informacin, que le permita a la organizacin continuar con sus operaciones, en
caso de presentarse fallas o inconvenientes en sus sistemas que le impidan el
normal funcionamiento de los servicios de TI, de esta manera, la correcta
implementacin del plan deber permitir restaurar en el menor tiempo posible las
operaciones de la entidad.
El anlisis de impacto del negocio BIA por sus siglas en ingls (Bussiness
Impact Analysis), est determinado por la construccin de un plan de continuidad
del negocio para cada organizacin, que le permita a cada entidad continuar
funcionando a pesar de un desastre ocurrido; el documento generado en este
anlisis deber cumplir con lo expuesto en los requerimientos de la ISO/IEC
27001,
de este modo el documento BIA debe ser validado e implementado bajo las
directrices de cada organizacin,
Se requieren planear las acciones necesarias durante el perodo en que la
infraestructura de TI se encuentra inactiva y en proceso de recuperacin y
reanudacin de los servicios para priorizar cuales actividades y servicios deben
entrar en operacin inmediatamente dentro de la entidad.
Finalmente, es necesario tener en cuenta que los responsables del negocio deben
conocer la importancia de tener una inversin de TI planeada que permita innovar
tecnolgicamente y que responda adecuadamente a los problemas generados por
la interrupcin de los servicios y permita que las empresas puedan aplicar
exitosamente los criterios de recuperacin y reanudacin de las operaciones del
negocio.
4. OBJETIVO GENERAL
Disponer de un documento gua por medio del cual las Entidades del estado
puedan consultar los lineamientos de seguridad ante situaciones de emergencia a
fin de mitigar el impacto producido por la interrupcin de los servicios de alta
criticidad que afectan sensiblemente las operaciones del negocio.
La fase de Anlisis de Impacto del Negocio BIA (Bussiness Impact Analysis) Por
sus siglas en ingls), permite identificar con claridad los procesos misionales de
cada entidad y analizar el nivel de impacto con relacin a la gestin del negocio.
Como se ha venido mencionando, cada entidad debe disponer de un documento
que permita identificar todas las reas crticas del negocio y sea un instrumento
para garantizar la medicin de la magnitud del impacto operacional y financiero de
la entidad, al momento de presentarse una interrupcin.
En esta etapa, el anlisis de impacto del negocio, debe poder clarificar los
siguientes requerimientos:
Hiles, Andrew. 2004, Bussines Continuity: Best Practices, Connecticut: Rothstein Associates, Inc.
La metodologa del Anlisis de Impacto del Negocio, consiste en definir una serie
de pasos interactivos con el objeto de identificar claramente los impactos de las
interrupciones y tomar decisiones respecto a aquellos procesos que se consideran
crticos para la organizacin y que afectan directamente el negocio ante la
ocurrencia de un desastre, estos pasos se muestran en esta ilustracin:
Alexander, Alberto. 2007., Diseo de un Sistema de Gestin de Seguridad de Informacin, pg. 74.
Identificacin de
funciones y procesos
Evaluacin de impactos
Operacionales
Identificacin de
Procesos crticos
Establecimiento de
tiempos de recuperacin
Identificacin de
Recursos
Identificacin de
procesos alternos
Metodologa del Anlisis de Impacto del Negocio
Figura 1. Generacin
En este paso se identifican las funciones del negocio tiles para apoyar la misin y
los objetivos a alcanzar en el Sistema de Gestin de Seguridad de Informacin de
la Entidad.
Este punto tiene como resultado generar un listado de roles y procesos, que sirven
de anlisis para el cumplimiento de los siguientes pasos del BIA.
Nivel B: La operacin es una parte integral del negocio, sin sta el negocio
no podra operar normalmente, pero la funcin no es crtica.
La tabla siguiente muestra un ejemplo con los niveles de criticidad en una Entidad,
que contempla un sistema de tolerancia a fallas por horas, cuya propiedad permite
que un sistema pueda seguir operando normalmente a pesar de que una falla
haya ocurrido en alguno de los componentes del sistema; por lo tanto la tolerancia
a fallas es muy importante en aquellos sistemas que deben funcionar todo el
tiempo.
Categora (Funcin
del Negocio)
Aplicaciones
Web
Base de Datos
Proceso (Servicios)
Sistema de Control de
flujo de documentos
Sitio web Entidad
SQL nmina
Nivel
B
Tolerancia a
Fallas (Horas)
3
A
A
1
1
Descripcin
Contenedor
de
aplicaciones
Capa de presentacin
Contenedor
de
aplicaciones en SQL
rea
Comunicaciones
Cuartos de Mquinas
Centro de Datos
Proveedores
Aplicaciones
comunicaciones
Interno/externo
Internos/externos
Seguridad
Informacin
Sistemas
Almacenamiento
Recurso Humano
de
Firewall
de
SAN (Storage
Network)
de
y/o
Servicio de firewall de
la Entidad
Capacidad
de
almacenamiento en
SAN
Comunicacin
de
Internet del usuario
local
Servicio de Centro de
datos de la Entidad
Desarrollo Interno o
contratado
por
externos.
Canales
de
comunicaciones
Profesionales
encargados
de
administrar
las
infraestructuras de la
Entidad
Una vez identificados los procesos crticos del negocio, se deben establecer los
tiempos de recuperacin que son una serie de componentes correspondientes al
tiempo disponible para recuperarse de una alteracin o falla de los servicios; el
entendimiento de estos componentes es fundamental para comprender el BIA. Los
tiempos de recuperacin de describen a continuacin:
Tiempo de Recuperacin
RPO
Descripcin
Magnitud de la prdida de datos medida en trminos de un periodo de
tiempo que puede tolerar un proceso de negocio.
RTO
Tiempo Disponible para Recuperar Sistemas y/o recursos que han sufrido
una alteracin.
WRT
Tiempo Disponible para Recuperar Datos Perdidos una vez que los
sistemas estn reparados. Tiempo de Recuperacin de Trabajo.
MTD
Periodo Mximo Tiempo de Inactividad que puede tolerar la Entidad sin
entrar en colapso.
Tabla 3. Descripcin de tiempos de recuperacin
Una vez identificados los procesos crticos del negocio, funcin que hace parte del
anlisis de los impactos operacionales, se procede a identificar el MTD, que
corresponde al tiempo mximo de inactividad que puede tolerar una organizacin
antes de colapsar y se hace la clasificacin a fin de priorizar la recuperacin del
proceso (servicio). Esto quiere decir que si por ejemplo un proceso tiene un
periodo mximo de tiempo de inactividad (MTD) de un (1) da, este debe tener
mayor prioridad para iniciar el evento de recuperacin, en razn al poco tiempo de
tolerancia de la inactividad, frente a otros que tienen mayor tolerancia.
El siguiente ejemplo ilustra esta situacin:
Categora (Funcin
Crtica del Negocio)
Aplicaciones
Proceso Crtico
(Servicios)
Sistema de Control de
flujo de documentos
Dispositivos Mviles
Sistema de Nmina
Firewall
Soporte Informtico
Aplicaciones
Seguridad
de
Informacin
Sistemas
de SAN
(Storage
rea
Almacenamiento
Network)
Comunicaciones
Servicio WiFi
Cuartos de Mquinas
Centro de Datos
Soporte Informtico
Equipo PC de usuario
Tabla 4. Prioridades de Recuperacin de procesos crticos
Prioridad de
Recuperacin
3
2 das
0.5 da*
0.5 da*
3
1
1
1 da
1 da
0.5 da*
3 das
2
1
4
Procesos
Crticos
(Servicios)
Sistema de nmina
Seguridad de Informacin
Firewall
Comunicaciones
Servicio WiFi
Cuartos de Mquinas
Centro de Datos
Procesos
Crticos
(Servicios)
Identificacin
recursos
crticos
Sistemas TI
de
de
Tiempo
de
Recuperacin
Objetivo RTO
Tiempo
de
Recuperacin de
Trabajo WRT
Cuartos
Mquinas
de
Centro
Datos
de
Control de operaciones de
Servidores. Sistemas de
Almacenamiento.
Sistemas de Backups.
Aire
Acondicionado
Acometida Elctrica
1 da
1 da
0.5 da
1.5 das
1 da
0.5 da
0.5 das
1 da
0.5 da
0.5 da
Riesgos Humanos:
Robos.
Acto Hostil.
Marchas, mtines.
Artefactos explosivos.
Problemas organizacionales (huelgas, leyes aceptadas por el
congreso, regulaciones gubernamentales, leyes internacionales)
Problemas de terceros involucrados en la produccin o soporte a un
servicio.
Problemas con los proveedores de insumos o subproductos.
Hiles, Andrew. Business Continuity: Best Practices. Rothstein Associates, Inc. 2004 Connecticut.
Desastres Naturales:
Sismos
Tormentas Elctricas
Incendios
Inundaciones
Categoras
Escenarios
Descripcin Impacto
Red Elctrica
Red Datos,
Internet y
Seguridad
Problemas dispositivos
Falla Parcial
Problemas
Falla Total
dispositivos
Hardware
distribuido
Aplicaciones
infraestructura
distribuida
Recurso
Humano
Hardware
Desarrollo de
aplicaciones
Falla en la aplicacin
desarrollo no adecuado
parte de la Entidad
por
Contempla la degradacin de un servicio por fallas en la
por
funcionalidad en los sistemas de informacin de la Entidad.
Proteccin de la informacin
Sistema TI
Servicio Web de
la Entidad
Servicio
de
correo
electrnico
Sistema
de
Almacenamiento
Sistema de Base
de datos
Servicio Red de
comunicaciones
Activo de
Informacin
Pgina
Web
Entidad
Correo
electrnico
Exchange
SAN o NAS
Amenaza
Vulnerabilidad
Defacement
(desfiguracin
pgina web)
Virus,
listas
negras
Falla en el fluido
elctrico
Carencia
de
parches
de
seguridad
No hay buena
acometida
elctrica
Mala
configuracin
Bloqueo
de
puertos
Impacto
Probabilidad
de ocurrencia
Medio
Alto
Alto
Alto
Bajo
Alto
Bajo
Alto
Medio
Alto
7. CONCLUSIONES
El anlisis de impacto del negocio BIA, hace parte importante del plan de
continuidad del negocio y a su vez presenta consideraciones importantes para la
gestin del riesgo dentro de las organizaciones, que establecen un marco de
polticas, procedimientos y estrategias que permiten asegurar que las operaciones
de carcter crtico puedan ser mantenidas y recuperadas a la mayor brevedad
posible, en caso de fallas graves dentro de los sistemas de informacin y las
comunicaciones.
En este sentido, las distintas organizaciones deben considerar que el BIA es un
instrumento operacional muy importante que permite la toma de decisiones en
momentos crticos de la organizacin en virtud del cese de operaciones debido a
una situacin anmala presentada. De esta manera dicho instrumento, contribuye
a identificar las operaciones y servicios considerados crticos dentro de la entidad,
que contribuyen a restablecer en el menor tiempo posible los servicios y
operaciones con el apoyo de un plan de continuidad del negocio de las entidades.
Corroborando lo anterior, el anlisis de impacto del negocio - BIA, podrn ayudar a
identificar dentro del marco de la seguridad de la informacin, las vulnerabilidades
potenciales de la organizacin, podr delimitar las actividades crticas que afectan
el negocio y ayudar a las entidades a definir los planes adecuados de
recuperacin de los servicios que afectan el objeto del negocio; de otro lado las
entidades podrn tener mayor informacin sobre el estado de los procesos
contribuyendo favorablemente a mejorar la competitividad y proyectar estrategias
adecuadas para una recuperacin exitosa de la informacin.
Finalmente, es responsabilidad de las empresas del gobierno disponer de un
recurso humano suficientemente capacitado y especializado, capaz de enfrentarse
a los eventos inesperados que atentan con la operatividad, seguridad y
disponibilidad de los sistemas de informacin y las comunicaciones.
8. BIBLIOGRAFIA