Los Planes de Continuidad del Negocio, de Recuperación de Desastres y de Respuesta a Incidentes.

-

La Importancia de la Continuidad de los servicios de TI

Introducción

Debido a la continua pandemia que todos intentan superar, las empresas han tenido que adaptarse rápidamente a algunos factores para poder continuar sus operaciones. Las empresas que pudieron adaptarse a los rápidos cambios en sus operaciones han tenido éxito, mientras que otras han fracasado. El cambio hacia el trabajo remoto ha hecho que la recuperación ante desastres y la planificación de la continuidad del negocio sean más cruciales que nunca.

Esto es parte de la preocupación de las empresas y que se suma ante el constante cambio de las tecnologías de información se añade la inseguridad ante el error humano, un ataque cibernético o un desastre natural que pudiera detener las prestación de servicios por parte de empresa. 

La respuesta total para poder ofrecer garantías de resiliencia y la existencia de una organización está en el desarrollo e implementación de planes de continuidad del negocio (Business Continuity Plan - BCP), recuperación ante desastres (Disaster Recovery Planning - DRP) y respuestas a incidentes (IRP). Estos planes están dirigidos a restaurar la normalidad después de una catástrofe, desastre o emergencia. Hay numerosos elementos para nombrar dentro de estos planes. 

Importancia del BCP, DRP y IRP

Si una empresa tiene un plan sólido de recuperación ante desastres, puede continuar operando. Debe ser resistente durante y después de una crisis. Las empresas pueden recuperarse rápidamente de una crisis y reducir los gastos de tiempo de inactividad. Este es el dinero que las empresas gastan para compensar la pérdida de negocios durante una calamidad. Los ataques cibernéticos, el sabotaje del personal, el error humano y los desastres naturales como incendios e inundaciones pueden causar un desastre. Los BCP, DRP y IRP trabajan juntos para proteger los sistemas y servicios de TI.

Algunos tipos de desastres para los que las organizaciones pueden planificar incluyen los siguientes:

  • falla de aplicación
  • fallo de comunicación
  • corte de energía
  • desastre natural
  • incendio
  • malware u otro ataque cibernético
  • desastre del centro de datos
  • desastre de la facilidad o edificio
  • desastre del campus
  • desastre en toda la ciudad
  • desastre regional
  • desastre nacional
  • desastre multinacional

¿Qué es un Business Continuity Plan - BCP?

Un plan de continuidad comercial (BCP) es un mecanismo para prevenir y recuperarse de posibles amenazas comerciales. La estrategia garantiza que los trabajadores y los activos estén protegidos y puedan reanudar las operaciones rápidamente en caso de una crisis.

Desarrollar un BCP implica delinear todos y cada uno de los peligros que pueden afectar las operaciones de la organización, por tanto, lo convierte en un componente vital de la estrategia de gestión de riesgos de una organización. Las catástrofes naturales, como incendios, inundaciones o sucesos relacionados con el clima, y los ataques cibernéticos son ejemplos de amenazas potenciales. Después de identificar los riesgos, el plan también debe incluir:

  • El impacto de estos riesgos en las operaciones.
  • Acciones y procesos para mitigar los peligros.
  • Procedimientos, actividades y cronograma para verificar que el plan funcione.
  • Revisión del plan de forma programada para asegurarse de que esté actualizado.

Los BCP son un componente esencial de cualquier organización. Las amenazas y las interrupciones dan como resultado la pérdida de ingresos y el aumento de los gastos, lo que reduce la rentabilidad. Las empresas no pueden confiar únicamente en los seguros porque no siempre se cubren todas las perdidas, entre estas, la pérdida de clientes. 

¿Cómo crear un plan de continuidad de negocio?

Por lo general, los BCP se desarrollan de forma planificada con anticipación con aportes de las partes interesadas y empleados relevantes. No obstante, al final toda la organización debe conocer la existencia y el contenido del BCP.  Si bien existen modelos y procesos detallados de como hacer un BCP, se puede resumir su desarrollo en los siguientes pasos.

  1. Análisis de impacto. La organización identificará las funciones y los recursos relacionados que son sensibles y críticas.
  2. Recuperación. En esta parte, la empresa debe identificar e implementar pasos para recuperar funciones comerciales críticas.
  3. Organización. Se debe crear un equipo de primera respuesta que estará a cargo de ejecutar en primer instancia el BCP. Este equipo diseñará un plan para manejar la interrupción.
  4. Capacitación: El equipo de continuidad debe estar capacitado y probado. Los miembros del equipo también deben completar ejercicios que repasen el plan y las estrategias en forma agendada.

Las empresas también pueden encontrar útil elaborar una lista de verificación que incluya detalles clave, como información de contacto de emergencia, una lista de recursos que el equipo de continuidad puede necesitar, dónde se alojan o almacenan los datos de respaldo y otra información requerida, y otro personal importante.

¿Qué es un Disaster Recovery Planning - DRP?

Un plan de recuperación ante desastres (DRP, por sus siglas en inglés) es un documento formal desarrollado por una organización que brinda instrucciones precisas sobre cómo responder a sucesos perturbadores, como desastres naturales, cortes de energía y ataques cibernéticos. El objetivo principal de un DRP es minimizar los efectos negativos de un incidente en las operaciones comerciales. Un plan de recuperación ante desastres puede tener un alcance que va desde básico hasta completo. 

El plan proporciona técnicas para mitigar las consecuencias de un desastre, lo que permite que una organización reinicie rápidamente las operaciones esenciales o continúe funcionando como si no hubiera habido interrupciones. Las interrupciones pueden causar pérdida de ingresos, daños a la marca y clientes insatisfechos. Cuanto mayor sea el tiempo de recuperación, mayor será el impacto negativo potencial en la empresa. Un DRP fiable permite una rápida recuperación de las perturbaciones, independientemente de su causa.

¿Cómo preparar un plan de recuperación de desastre?

Un plan de recuperación ante desastres debe integrarse a las funciones de la organización de una manera que evite que el tiempo de inactividad interrumpa la continuidad. Es por esto, que para desarrollar el DRP es necesario identificar:

  • Datos. Qué datos necesita para permanecer operativo.
  • Ubicación. Las ubicaciones desde las que operaría si su ubicación se ve comprometida.
  • Plan de Comunicación. Información sobre cómo se comunicaría con su equipo durante una emergencia.
  • Pasos de Respuesta. Pasos de respuesta específicos en caso de una violación de datos o un ataque de ransomware.

También debe incluir un plan sobre dónde se reunirán los empleados, cómo se comunicará con los clientes y los pasos que puede seguir para minimizar el riesgo y maximizar la seguridad:

  • Identificar operaciones críticas.
  • Evaluar escenarios de desastre.
  • Crear un plan de comunicación.
  • Desarrollar un plan de respaldo y recuperación de datos.
  • Realizar pruebas del plan.

¿Qué es un Incident Response Plan - IRP?

Un plan de respuesta a incidentes es un documento que describe los procedimientos, pasos y responsabilidades de una organización de su programa de respuesta a incidentes. El plan de respuesta a incidentes posee un conjunto de instrucciones para ayudar al personal de Tecnología de Información a detectar, responder y recuperarse de incidentes de seguridad. Estos tipos de planes abordan problemas como ataques cibernéticos, la pérdida de datos y las interrupciones del servicio que amenazan a los procesos y servicios de una organización.

La planificación de respuesta a incidentes a menudo incluye los siguientes detalles:

  • Cómo la respuesta a incidentes apoya la misión más amplia de la organización.
  • El enfoque de la organización para la respuesta a incidentes.
  • Actividades requeridas en cada fase de respuesta a incidentes.
  • Roles y responsabilidades para completar las actividades de IR.
  • Canales de comunicación entre el equipo de respuesta a incidentes y el resto de la organización.
  • Métricas para capturar la efectividad de sus capacidades IR.

La importancia de un IRP no termina cuando se resuelve un incidente de ciberseguridad; el IRP proporciona apoyo para litigios exitosos, documentación para auditores y conocimiento histórico para la evaluación de riesgos y mejorar el propio proceso de respuesta a incidentes.

¿Cómo preparar un plan de respuestas a incidentes?

Según el Instituto Nacional de Estándares y Tecnología (NIST), hay cuatro fases clave para IR:
  • Preparación. Debe existir un plan para prevenir y responder a los eventos.
  • Detección y análisis. La segunda fase del IRP es determinar si ocurrió un incidente, su gravedad y su tipo.
  • Contención y erradicación. El propósito de la fase de contención es detener los efectos de un incidente antes de que pueda causar más daño.
  • Recuperación posterior al incidente. Reflexionar en una reunión de lecciones aprendidas que involucre a todas las partes relevantes debe ser obligatoria después de un incidente mayor, incluso, aún después de incidentes menos severos con el objetivo de mejorar la seguridad en general y el manejo de incidentes en particular.

El BCP, el DRP y el IRP se crean para ayudar a acelerar la recuperación de una organización que enfrenta una amenaza o un desastre. Estos planes establecen mecanismos y funciones con garantías para permitir que el personal y los activos minimicen el tiempo de inactividad de la empresa. El BCP, el DRP y el IRP cubren todos los riesgos organizacionales en caso de que ocurra un desastre o emergencia. Es importante que las organizaciones entiendan que mejor recurso para sostener el servicio es ella misma. Cualquier organización consciente de la necesidad sobrevivir en una situación de desastre o emergencia al menos debe iniciar con la creación de uno de estos planes.

Comentarios

Publicar un comentario

Entradas populares de este blog

Manejo de Riesgos - Conceptos y Escenarios

-
Introducción      El proceso de identificar, evaluar y controlar las amenazas de los activos y capital de una organización se conoce como Gestión de Riesgos. Estos peligros surgen de una variedad de fuentes, incluida la incertidumbre financiera, las responsabilidades legales, los problemas tecnológicos, los errores de gestión estratégica, los accidentes y los desastres naturales.  La Gestión de Riegos adecuada ayuda a una organización a considerar todos los riesgos que puede enfrentar. La gestión de riesgos también evalúa la relación entre los riesgos y las posibles consecuencias para los objetivos estratégicos de una organización.      La gestión de riesgo no solo se centra en las amenazas internas y externas, también enfatiza en la importancia de gestionar el riesgo positivos. Los riesgos positivos son oportunidades que, si no se aprovechan, pueden aumentar el valor empresarial o perjudicar a una organización. De hecho, el objetivo de cualquier programa de gestión de riesgos no es el
Leer más

Siete recursos para facilitar la Auditoría de las Tecnologías de la Información

-
Introducción     A medida que la tecnología se integra más en la estructura de la gestión y las operaciones comerciales, se vuelve más importante evaluar la utilización de la tecnología y preparar una evaluación de las amenazas y oportunidades disponibles para auditar las Tecnologías de la Información.      En términos de amenazas, un sistema inadecuado de almacenamiento de datos o documentos puede representar un riesgo para una organización. Las políticas débiles que rigen el uso de las tecnologías de información de la empresa pueden exponer o amenazar los datos e información. El uso de software no autorizado, particularmente el software no autorizado instalado por los empleados, podría resultar en multas de miles o incluso millones de dólares por infracción de derechos de autor. Y estos son sólo los peligros evidentes.      No obstante, son mayores las oportunidades y beneficios que obtienen las empresas al utilizar las tecnologías de información en sus procesos y servicios. Las tabl
Leer más

Control de Acceso - La gestión primaria para la seguridad de las TI

-
La Gestión de Control de Acceso en las Tecnologías de la Información Introducción Debe ser irrefutable, que la gestión principal de la gerencia de TI debe ser garantizar la seguridad de los datos y del sistema. Si bien en la actualidad, casi todas las aplicaciones financieras, de manejo de recursos humanos, de contabilidad, entre otras, poseen algún procedimiento de control de acceso no necesariamente proveen privacidad, seguridad y defensa de sus datos.  Si bien el control de acceso media en el intento de cada usuario de acceder a un recurso del sistema no solo se limita al ámbito del software.  Después de la autenticación del usuario, algunos sistemas otorgan acceso completo, pero la mayoría requiere un control más sofisticado.  El control de acceso considera tanto la autenticación (contraseñas) como las autorizaciones. En algunos casos, la autorización puede reflejar la estructura de la organización, mientras que en otros puede basarse en la confidencialidad de los datos y la autori
Leer más