Terminología Adicional sobre el Riesgo

Se debe estar seguro de entender el alcance y términos relacionados al Hardware y SLA (Service-Level Agreement), o por su traducción al español; Acuerdo sobre Nivel del Servicio. El hacerlo puede ayudar a evitar la frustración y prevenir interrupciones imprevistas, las cuales pueden paralizar la organización. Las siguientes son medidas clave con las cuales se debe estar familiarizado:

Probabilidad El significado de la palabra probabilidad es usualmente auto explicativo; sin embargo, existen valores actuales los cuales pueden ser asignados a la probabilidad. NIST, o el Instituto Nacional de Estándares y Tecnología, recomienda ver la probabilidad como una puntuación representando la posibilidad de inicio para una amenaza. De esta manera, puede ser expresada ya sea en términos cuantitativos y cualitativos. En el apéndice G de la publicación NIST 800-30 se muestra la escala de evaluación para la probabilidad de inicio de una amenaza.

Vectores de Amenaza El término vector de amenaza es la manera en la cual un atacante posee una amenaza. Esta puede ser una herramienta particular, la cual puede ser utilizada contra uno (un escaner de vulnerabilidades, por ejemplo), o la ruta o rutas de ataque a seguir. Bajo esa amplia definición, un vector de amenaza puede ser cualquier cosa, desde un mensaje de correo electrónico falso, el cual atrae a hacer clic en un enlace (phishing), o un punto de acceso no seguro (punto de acceso falso), y todo lo demás.

Tiempo Medio entre Fallas El tiempo entre fallas, (MTBF) por sus siglas en idioma inglés, es la medida de la incidencia anticipada de falla para un sistema o componente. Esta medida determina el tiempo de vida anticipada del componente. Si el MTBF de un sistema de enfriamiento es de un año, se puede anticipar el sistema podría tener un periodo de un año; esto significa se debe estar preparado para reemplazar o reconstruir el sistema una vez al año. Si el sistema dura más del MTBF, es una bonificación para la organización. El MTBF es útil en la evaluación de la confiabilidad y expectativa de vida de un sistema.

Tiempo Medio hasta la Falla Similar a MTBF, el tiempo medio hasta la falla, (MTTF) por sus siglas en idioma inglés, es el tiempo promedio hasta la falla para un sistema no reparable. Si el sistema puede ser reparado, el MTBF es la medida a enfocar, pero si no, entonces MTTF es el número a mirar. Algunas veces, MTTF es inadecuadamente utilizado en lugar de MTBF, pero como un administrador se debe conocer la diferencia entre ellos y cuando utiliza una medición u otra.

Tiempo Medio hasta la Restauración El tiempo medio hasta la restauración (MTTR) por sus siglas en idioma inglés, es la medición de cuanto tiempo toma reparar un sistema o componente una vez la falla ocurre. (Esto es frecuentemente referido como tiempo para reparación). En el caso de un sistema de cómputo, si el MTTR es de 24 horas, esto indica típicamente tomará 24 horas repararlo cuando se descomponga.

Anotación: Aunque el MTTR se considera una medida común de mantenibilidad, se debe tener cuidado cuando se lo evalúe, porque típicamente no incluye el tiempo necesario para adquirir un componente y enviarlo hacia su localización. Se debe asegurar el contrato o acuerdo para el nivel del servicio indique exactamente lo requerido.

Tiempo Objetivo para Recuperación El tiempo objetivo para recuperación, (RTO) por sus siglas en idioma inglés, es la cantidad máxima de tiempo el cual un proceso o servicio es permitido de estar inactivo, y las consecuencias aún son consideradas aceptables. Más allá de este tiempo, se considera una interrupción en la continuidad de la empresa, lo cual afecta negativamente a esta. El RTO es acordado durante la creación del BIA.

Punto Objetivo para Recuperación El punto objetivo para recuperación (RPO) es similar al RTO, pero este define el punto en el cual el sistema necesita ser restaurado. Esto podría ser el lugar donde el sistema estaba hace dos días antes de caerse (eliminado las viejas cintas de respaldo), o cinco minutos antes de caerse (requiriendo una redundancia completa). Como regla general, cuanto más se acerque RPO con el ítem de la caída, más costoso es obtenerlo

Muchos SLAs relacionados a la gestión del riesgo, estipulan las definiciones de estos términos y la forma en la cual aplicar el acuerdo. Se debe entender como estos términos son utilizados, y su significado para el proveedor, y su organización para asegurarse de existe concurrencia.

Fuentes:

https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final