©Copyright 2013 ISACA. Todos los derechos reservados. El impacto adverso de un evento relacionado con la seguridad puede describirse en términos de la pérdida o degradación de cualquiera de las siguientes tres metas de seguridad o de una combinación de ellas: —Integridad —Disponibilidad —Confidencialidad Algunos impactos tangibles (por ejemplo, una pérdida de ganancias) pueden medirse en términos cuantitativos, donde otros (por ejemplo, pérdida de la confianza por parte del público) no pueden Valoración y análisis de impactos

©Copyright 2013 ISACA. Todos los derechos reservados. Determinar el RTO puede depender de varios factores: —La necesidad cíclica (diaria, semanal, mensual o anual) de la información y la organización. —Las interdependencias entre la información y los requerimientos de la organización. —El costo de las opciones disponibles Tiempo objetivo de recuperación

©Copyright 2013 ISACA. Todos los derechos reservados. Los requerimientos de la organización pueden estar basados en: Necesidades de los clientes. Obligaciones contractuales. Acuerdos de niveles de servicio. Requerimientos regulatorios Tiempo objetivo de recuperación

©Copyright 2013 ISACA. Todos los derechos reservados. A menudo se tienen dos perspectivas para el RTO, que el Gerente de Seguridad de Información debe considerar: La de las personas cuyo trabajo es utilizar la información. La de la Alta Dirección, la cual considera los costos y probablemente decida entre las unidades de negocio que compiten por los recursos Tiempo objetivo de recuperación

©Copyright 2013 ISACA. Todos los derechos reservados El RTO y su relación con los objetivos y procesos de los Planes de Continuidad del Negocio y de Contingencia Los RTOs son necesarios para identificar y desarrollar estrategias de contingencia. Generalmente, RTOs más cortos requieren procedimientos de contingencia más costosos. Existe un punto de equilibrio del tiempo para determinar el RTO, en el que el impacto que tiene una interrupción comienza a ser mayor que el costo de la recuperación. La mayoría de las organizaciones pueden reducir sus RTO; no obstante, existe un costo relacionado con dicha reducción.

©Copyright 2013 ISACA. Todos los derechos reservados El RTO y su relación con los objetivos y procesos de los Planes de Continuidad del Negocio y de Contingencia Es necesario que una organización conozca el RTO para los recursos de información a fin de que desarrolle e implemente un plan de continuidad del negocio efectivo (BCP). Una vez determinados los RTO, la organización puede identificar y desarrollar estrategias de contingencia que permitan alcanzar los RTO de los recursos de información. Una vez que se conoce el RTOs, la organización puede identificar y desarrollar las estrategias de la contingencia que reunirán el RTOs de los recursos de información. Un factor crítico cuando se desarrollan los procesos de contingencia es el costo. Los dueños de los sistemas invariablemente prefieren los RTO que son más cortos; sin embargo, el equilibrio en los costos puede no estar asegurado. Es posible lograr una recuperación casi instantánea, cuando se necesita, mediante el uso de tecnologías como la réplica de datos en espejo (mirroring) de los recursos de información y la duplicación de la información, de tal forma que, en caso de una interrupción, los recursos de información siempre estén disponibles casi de inmediato. El costo de la recuperación, por lo tanto, es generalmente menos costoso si el RTO para un recurso dado es más largo.

©Copyright 2013 ISACA. Todos los derechos reservados El RTO y su relación con los objetivos y procesos de los Planes de Continuidad del Negocio y de Contingencia Existe un punto de equilibrio del tiempo para determinar el RTO, en el que el impacto que tiene una interrupción comienza a ser mayor que el costo de la recuperación. La duración depende de la naturaleza de la interrupción del negocio y los recursos afectados. Deben tenerse en cuenta los temas tanto cualitativos como cuantitativos, ya que perder la confianza del cliente, aun si no puede calcularse, puede tener un impacto negativo a largo plazo para la organización. La mayoría de las organizaciones pueden reducir sus RTOs, pero hay un costo asociado a alcanzar este objetivo.

©Copyright 2013 ISACA. Todos los derechos reservados Punto objetivo de recuperación Se determina en base a la pérdida aceptable de datos en caso de una interrupción de las operaciones. RPO tendrá un efecto en el logro de RTOs cortos.

©Copyright 2013 ISACA. Todos los derechos reservados Objetivos de la prestación de servicios (SDO) El nivel mínimo de servicio que se debe restaurar después de un evento para cumplir con los requerimientos del negocio, hasta que se reinicien las operaciones normales. Los SDO afectarán los RTO y RPO, y deben considerarse para la estrategia de gestión de riesgos. Los niveles más altos de servicios generalmente requerirán mayores recursos y RPOs más actuales.

©Copyright 2013 ISACA. Todos los derechos reservados Proveedores de servicios externos En los acuerdos de tercerización (outsourcing) el Gerente de Seguridad de la Información debe asegurar: Que se realice una evaluación de riesgos para el proceso que se externalizará. Que se realice un nivel adecuado de diligencia debida antes de firmar el contrato. Que existan cláusulas adecuadas de gestión de riesgos de la información en el contrato de externalización. Que la organización tenga los controles y procesos adecuados para facilitar la externalización. Gestión diaria de los riesgos de información en procesos externalizados. Que se señalen los cambios materiales a la relación y se realicen nuevas evaluaciones de riesgos si es necesario. Que se sigan procesos adecuados cuando las relaciones finalizan.