Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (III de V)
Buenas a todos, en el post de hoy continuaremos con la cadena de artículos sobre BCP tratando los puntos 3 y 4 expuestos en el primer post:
3.- Clasificar las operaciones realizadas en la empresa y su nivel de criticidad.
4.- Identificar los procesos que soportan funciones más críticas.
Clasificar las operaciones realizadas en la empresa y su nivel de criticidad
De la misma manera que se analizaba en el artículo anterior la clasificación que era necesaria realizar sobre los posibles incidentes que pueden causar un problema en la organización, se debe realizar una clasificación con las operaciones realizadas en la empresa según su nivel de criticidad.
A continuación os presento una de las clasificaciones que más comúnmente se utiliza:
- Críticos: Se trata de funciones que no pueden realizarse a menos que sean reemplazadas por capacidades idénticas. No pueden ser reemplazadas por métodos manuales, es decir, un usuario no puede realizar esa operación de manera manual en un tiempo y costes razonables. Por ello, la tolerancia a la interrupción es muy baja y el coste muy alto.
- Vitales: Funciones que sí pueden realizarse manualmente pero únicamente por un período corto de tiempo. La tolerancia es mayor que la de los sistemas críticos, y los costes menores, aunque debería superar los 5 días para que os hagáis una idea.
- Sensitivos: Estas funciones pueden realizarse de forma manual con unos costes asumibles para una empresa por un largo período de tiempo, aún así sería necesario la contratación de personal extra, recolocación de empleados, etc. Es un proceso difícil y exige mano de obra adicional para realizarse.
- No sensitivos: Funciones sin importancia, a las que no es necesario dedicar apenas tiempo para restaurarlas.
Identificar los procesos que soportan funciones más críticas
Ya tenemos la clasificación, ahora tendremos que valorar si un sistema concreto se clasifica como crítico, vital, sensitivo o no sensitivo. Lo normal es determinar el riesgo basándonos en el impacto que tendría la ausencia del sistema, así como la probabilidad de que ese sistema tenga cualquier tipo de problema.
Por ejemplo, imaginemos que tras analizar las estadísticas de operación de un CPD, se ha llegado a la conclusión de que hay una probabilidad de que falle del 0,1%. Imaginemos ahora que el coste de tener un CPD alternativo por si falla sería aproximadamente de 3.000.000€. Por tanto la previsión de gasto "viable" en seguridad en un período de, por ejemplo, 3 años, no debería superar:
3.000.000 X 0.1% = 3000€
¿La estimación es sencilla verdad? Esta ecuación por tanto nos deja claro el porque todavía hay muchas organizaciones que invierten muy poco en seguridad, y es que "la seguridad" es cara, no solo en referencia al material software y hardware necesario, si no también a los costes en auditorías/consultorías, personal extra, etc. cuyo valor puede superar al del activo que se desea proteger. Por tanto, debemos entender también el punto de vista de nuestros jefes cuando les pedimos más seguridad y pasan de nuestro culo, entonces intentaremos demostrarle mediante este sistema si nuestra proposición es realmente viable (que seguro que lo es).
Hasta el próximo post, saludos!