¿Cómo evaluar amenazas y vulnerabilidades? ¿Cómo se hace el análisis de impacto en el negocio?

Publicado el 4 de Abril 2016 a las 10:48 AM

La evaluación de amenazas y vulnerabilidades junto con el análisis de impacto, son actividades relacionadas con la posibilidad de interrupción de un proceso de negocio.

TI_principal.jpg

Una detallada evaluación de las amenazas y vulnerabilidades que pueda tener una organización debe identificar:

  • Los procesos de negocio más importantes de la compañía.
  • La duración máxima de la interrupción que un proceso de negocio puede aceptar antes de que afecte gravemente al bienestar de su empresa.
  • Las consecuencias financieras, productivas y personales de una interrupción prolongada de la actividad.
  • Las prioridades del proceso de recuperación de negocio.
  • Los registros más importantes que se requiere proteger para reanudar exitosamente las operaciones.

Dicho análisis permite crear una visión panorámica de las vulnerabilidades y requisitos de recuperación en caso de interrupción prolongada para toda la empresa.

El costo de una interrupción se estima en horas, días y semanas. Este detalle es la base para adoptar decisiones acerca de los programas de recuperación. Permite la asignación de prioridades de recuperación a los procesos de negocio, así como plazos de recuperación tolerables, de tal modo que se pueda distribuir adecuadamente los recursos.

Según la definición de la IBM, el análisis de impacto es un estudio en profundidad que define los procesos de negocio críticos y los recursos necesarios para apoyarlos. Examina tanto las pérdidas financieras como intangibles que podrían producirse si estos sistemas, activos y datos dejaran de estar disponibles debido a una interrupción.

El análisis de impacto en el negocio está relacionado con los costos por inactividad en que incurre una empresa. Es preciso identificar los procesos críticos y los requisitos de tiempo de recuperación que la empresa necesita.

Uno de los servicios que ofrece la conocida transnacional IBM es el análisis de impacto que identifica los procesos de negocio críticos que más afectan los ingresos, activos y clientes para ayudar a asignar prioridades a las estrategias de recuperación que pudieran ser necesarias durante una interrupción prolongada de la actividad.

"¿Cuánto dinero perdería su empresa si cesara su actividad durante una hora? ¿Y un día? ¿Una semana?", pregunta la compañía cuando aborda el tema del análisis de impacto en el negocio.

El objetivo más importante de un análisis de impacto de negocio es la obtención de un buen conocimiento del funcionamiento de la empresa, especialmente de los procesos que deben estar interconectados y estar permanentemente disponibles para vender, producir y asistir a sus clientes.

Quienes desarrollan esta labor deben estar calificados para detectar los vínculos clave entre las prácticas de gestión de negocio y sus políticas y recursos de tecnologías de información. Deberán además crear un inventario eficaz y sólido de los activos y procesos esenciales de la compañía. Y deben contar con el conocimiento de estrategias de recuperación y continuidad que permitan determinar cuáles son los procesos críticos y el tiempo de recuperación necesario para que la empresa sobreviva a una interrupción grave.

¿Deseas saber más acerca de la evaluación de amenazas y vulnerabilidades, así como del análisis de impacto en el negocio? Inscríbete en el PEE en Gerencia en Seguridad de Información de ESAN.

FUENTES CONSULTADAS:

Presentación 'Metodologías de riesgos TI', de José Ángel Peña Ibarra, publicado por Isaca.

Documento 'Análisis y valoración de los riesgos. Metodologías'

Artículo 'Análisis de impacto de negocio', publicado por IBM.