Seguritecnia 385

SEGURITECNIA Abril 2012 39 Gestión integral de la Seguridad (tanto en el número de éstas que afec- tan a un proceso, como en su probabi- lidad de materialización), mientras que éstas no son tenidas en cuenta en el BIA. Por este motivo, si bien los impac- tos (el de AARR y el del BIA) están ali- neados, el resultado del AARR no tiene porqué ser una medida de referencia para la CN, puesto que el factor deri- vado de las amenazas en el AARR des- virtúa, de manera general, cualquier po- tencial aproximación a la CN. ▪ Adicionalmente, si bien el riesgo obtenido en el AARR no es determi- nante para concluir si un proceso debe ser incluido o no en el programa de CN, sí que se puede rescatar parte de la in- formación procesada en el AARR para tomar esta decisión. Tal y como se ha argumentado en el punto anterior, el impacto calculado para un proceso en el AARR puede servir como magnitud de referencia en una primera aproxima- ción a la CN, de forma que, si el impacto del AARR es próximo al umbral de im- pacto definido por la organización en el ámbito de la CN, debería efectuarse un BIA completo sobre ese proceso y, en función de los resultados obtenidos, ac- tuar en consecuencia (opciones de CN, PCN, PAE, etc.). De esta manera, se puede reaprove- char parte del trabajo realizado en el ámbito del AARR, pudiendo desarrollar un BIA completo partiendo, no desde cero, sino desde un estadio más avan- zado. ▪ Por último, para aquellos casos en los que resulte muy costoso (o imposible) la extracción de los impactos en el AARR (e.g., las características del mo- delo de cálculo del riesgo implantado en la organización no permite una vi- sión parcial del total del riesgo), el tra- tamiento de la CN en la GPC pasa por el análisis de todos los procesos de la organización, a través del BIA, para conocer el impacto y, por lo tanto, el grado de criticidad de tales procesos. Para aquellos casos en los que el riesgo y el impacto estuviesen alinea- dos (i.e., AARR y BIA son similares), ca- bría señalar que la CN debería incorpo- es el mismo que el ‘impacto’ de la CN? ¿Existe alguna relación entre el AARR y el análisis de impacto en el negocio (en adelante, BIA)? En el caso del AARR, el impacto se re- fiere a cómo se vería afectado un pro- ceso (conjunto de activos) desde el punto de vista de la confidencialidad, integridad, disponibilidad y cualquier otra dimensión que se estime oportuna (valor contable, impacto legal, de ima- gen, lucro cesante, etc.) ante la materia- lización de unas determinadas amena- zas, mientras que en CN el impacto se refiere a cómo se vería afectada la orga- nización, desde el punto de vista ope- rativo, legal, de imagen, etc. ante la pér- dida o degradación de un proceso a lo largo de un periodo de tiempo con- creto (una hora, un día, una semana, etc.). Es decir, asumiendo que el im- pacto en el AARR está restringido a un momento temporal concreto, los im- pactos obtenidos en el AARR y en la CN deberían estar totalmente alineados. No obstante, el riesgo en el AARR se ve condicionado por las amenazas rivados del análisis y la gestión de ries- gos. Esta afirmación se sustenta, básica- mente, en los siguientes argumentos: ▪ En primer lugar, la inclusión de un de- terminado proceso en el programa de CN está condicionada por el nivel de impacto de dicho proceso en la or- ganización debido a la interrupción/ degradación del mismo, teniendo en cuenta un factor de evolución tempo- ral en el impacto (que, además, es in- dependiente de la amenaza materiali- zada). Pero el riesgo se entiende como el producto de la probabilidad de ocu- rrencia de una amenaza (que aprove- cha una vulnerabilidad, más o menos expuesta, que afecta a uno o varios procesos) por el impacto de la mate- rialización de tal amenaza en un pro- ceso. ¿Existe alguna relación entre el AARR y la CN? ¿Un riesgo elevado en un proceso implica la inclusión auto- mática de éste en el programa de CN? El primer punto que, inicialmente, atisba más similitudes es el impacto: ¿el ‘impacto’ que se maneja en el AARR Figura 3: Visión de Gestión Preventiva de Crisis.