¿Ya tienes tu Plan de Recuperación ante Desastres?
En el argot informático, llamamos incidentes de seguridad a los sucesos, de diferente naturaleza, que tienen consecuencias negativas para nuestros negocios: denegación de servicio, acceso no autorizado, espionaje y robo de información, borrado o pérdida de información, etc. Algunos de estos incidentes se nos escapan de las manos, no podemos resolverlos de forma inmediata o son muy repentinos, produciendo daños serios a nuestros sistemas de trabajo normal o a nuestras instalaciones. Son lo que llamamos desastres.
Haciendo una analogía médica, un evento es el síntoma de que podemos enfermar, el incidente es cuando la enfermedad es evidente pero tenemos medios para controlarla, y el desastre es cuando tenemos que ir a urgencias.
Si queremos estar preparados en caso de sufrir este tipo de incidentes graves de seguridad, el primer paso será reconocerlos y poner los medios para gestionarlos. En general, el departamento de informática será el encargado de ello, realizando las tareas de gestión de incidentes:
- establecer sistemas de recolección de eventos que nos permitan monitorizar las alertas de seguridad;
- analizar los incidentes de seguridad que se hayan detectado, documentarlos y catalogarlos estableciendo su prioridad;
- estudiar los incidentes que hayan tenido lugar analizando sus causas, y así poder establecer medidas de seguridad adicionales que protejan nuestros activos de nuevos incidentes de índole similar;
- poner en marcha un punto central de comunicación, para recibir y difundir información de incidentes de seguridad entre las partes correspondientes;
- establecer procedimientos de respuesta ante incidentes y mantenerlos actualizados para saber qué pasos debemos dar y así poder gestionarlos correctamente.
Si gestionamos los incidentes, reconoceremos mejor aquellos que podrían hacer peligrar nuestra continuidad. Para estar preparado para abordarlos, en caso de que sucedan, debemos poner en marcha un Plan de Recuperación ante Desastres (DRP o Disaster Recovery Plan por sus siglas en inglés) dentro del Plan de Contingencia y Continuidad de Negocio.
El Plan de Continuidad de Negocio está formado por un conjunto de planes de actuación, planes de emergencia, planes financieros, planes de comunicación y planes de contingencias destinados a mitigar el impacto provocado por la concreción de determinados riesgos sobre la información y los procesos de negocio de una compañía.
El Plan de Contingencia de las Tecnologías de la Información y las Comunicaciones (TIC) consiste en una estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos para la empresa.
Uno de estos planes es el Plan de Recuperación ante Desastres y abarca los procesos de restauración de los datos, el hardware y el software crítico de la organización ante un desastre. Es decir, se centra en el restablecimiento de los sistemas y la infraestructura de la tecnología de la información que soportan los procesos críticos después de haber ocurrido un incidente grave.
Una propuesta para elaborar un Plan de Recuperación ante Desastres debería constar de las siguientes fases:
- Alinearlo con el plan de continuidad de negocio. Así se concentran los esfuerzos en los sistemas o aplicaciones que se consideran críticos para el negocio. Para unas empresas pueden ser los sistemas de producción y para otras, la página web o el CRM.
- Realizar una evaluación de riesgos. De este modo tendremos una visión detallada de las amenazas que pueden afectar a nuestra organización, y en particular a los sistemas o aplicaciones críticas, causando un desastre que ponga en riesgo la continuidad de negocio.
- Llevar a cabo un análisis de impacto de negocio. También conocido como BIA, por sus siglas en inglés Business Impact Analysis, tiene como principal objetivo identificar las necesidades de la organización en términos de recuperación, sobre todo en aquellos servicios que consideramos imprescindibles para el funcionamiento de la empresa.
- Desarrollar las medidas para recuperación para los servicios y aplicaciones prioritarios, de manera que se puedan poner en práctica los mecanismos para volver a la operación normal lo antes posible.
- Realizar pruebas. Debemos asegurar el correcto funcionamiento de nuestro plan de recuperación y probar que las medidas que hemos considerado necesarias realmente son las adecuadas para recuperar nuestros sistemas. Por lo tanto, debemos programar pruebas periódicas (desde revisar una lista de verificación o parar completamente los sistemas para verificar que podemos recuperarlos, o transferirlos a sistemas alternativos) que nos confirmen la continuidad en caso de desastre.
- Actualizar y mejorar el plan. Las pruebas de las que hablamos en el punto anterior pueden servirnos para ver tanto los puntos fuertes como los puntos débiles de nuestro plan. Así podremos mejorar todo lo que no funcione como se esperaba y mantener el plan en una mejora continua. Además, las amenazas evolucionan constantemente por lo que debemos asegurarnos de que nuestro plan no se queda desactualizado.
- Capacitar a los encargados de ponerlo en marcha, concienciar y difundir el plan. Por último, debemos encargarnos de que todas las partes implicadas en el plan conozcan al detalle su función en el mismo así como designar a los encargados de llevarlo a cabo en caso de que sea necesario.
Sigue estas recomendaciones y protege tu empresa, responde de forma planificada ante un incidente grave, minimiza su impacto, garantiza su continuidad y consigue que ningún desastre pueda detener tu actividad.