En una buena estrategia de continuidad, los Planes de Recuperación son claves para impulsar una buena solución enfocada en la protección de los sistemas de información.
¿Qué significa “una empresa parada” ?
Seguro que a todos se nos ponen los pelos de punta si nos detenemos a pensar en las consecuencias de un día de parada de la empresa en la que trabajamos, y un segundo día, agrava la situación y si acumulamos tres, una semana,… ¿difícil de asimilar?, los problemas se multiplican.
Hoy en día hay sectores que están sufriendo, a pesar de la situación actual del Covid19, graves ataques que provocan paradas de su actividad esencial. ¿Te imaginas que un virus informático infecta a todo un grupo hospitalario? ¿Qué alcance podría tener? Hablemos del caso del hospital de Torrejón de Ardoz en Madrid, que sufrió un ataque en enero de 2020, que afectó a la disponibilidad de algunos sistemas de información, y según fuentes del propio hospital, bloqueandolos hasta el punto de cerrar el acceso a las historias clínicas de los pacientes y obligar a los profesionales a realizar los informes médicos en papel con un calco para poder recuperar esa información cuando se volviera a la normalidad
Otro caso, Northern Lincolnshire y Goole NHS Foundation Trust, que en 2016 sufrió un ataque que paralizó sus sistemas y detuvo las operaciones de tres de sus hospitales simultáneamente durante cinco días, colocándolo como uno de los peores ejemplos de continuidad de negocio en la historia.
Ante este paradigma, es normal preguntarse ¿qué es un Plan de Continuidad de Negocio y por qué es importante tener uno previsto? y ¿cual es el punto de encuentro entre el Plan de Continuidad y la ciberseguridad de la organización?.
Hay muchos factores que pueden originar una interrupción del negocio, desde un desastre natural, hasta un ataque de ciberseguridad. Todos ellos tendrán un impacto negativo ante una parada, como por ejemplo, pérdida de ingresos, incumplimiento contractual, daños reputacionales, incumplimiento de normativas (tributarias, RGPD..), estrés laboral, pérdida de oportunidades comerciales, incluso en casos extremos, al cierre. Contar con un Plan de Continuidad de Negocio (BCP, Business Continuity Plan, siglas en inglés) contribuirá a que la empresa se recupere con mayor rapidez ante un incidente en el que sus sistemas se hayan visto afectados por alguna amenaza interna o externa.
El BCP es un proceso organizativo que tiene como objetivo la elaboración de un documento vivo que permitirá a la empresa recuperarse ante los eventos anteriormente indicados, que pueden reducir o detener drásticamente los procesos críticos de negocio de la organización.
La realización debe efectuarse, tras el Análisis de Riesgos, con el fin de responder a estas situaciones de emergencia o caídas de servicio que ocasionan impacto sobre los procesos de negocio.
El BCP es un documento que nos detalla de forma concisa y clara, cómo deben actuar todas y cada una de las personas y departamentos de la empresa, no solo el departamento de Tecnologías de la Información (IT) y así responder ante una situación crítica para intentar que el impacto negativo para la organización, sea el mínimo posible.
Es fácil relacionar el término continuidad de negocio con el ámbito tecnológico o con las grandes corporaciones. Pero, por una parte la continuidad de negocio no es exclusiva de las TIC, aunque sí sean una parte de la misma. Por otra parte, los desastres afectan igualmente a las pymes y a los autónomos. Todas las empresas deben tener en cuenta cuáles podrían ser las consecuencias de una parada en la producción o en la actividad diaria.
Cualquier empresa, con independencia de su tamaño o su sector, debe estar preparada para prevenir, protegerse y reaccionar ante incidentes de seguridad que puedan afectar e impactar directamente a su negocio. Con este fin es importante, bien definirlo con sus propios recursos, como puede ser el caso de grandes corporaciones, o bien contar con un partner que sea capaz de ofrecer soluciones adaptadas al tamaño de la empresa, en el caso de pymes y autónomos.
Para elaborar un buen BCP, estos son algunos de los pasos a seguir:
Fase 0. Determinación del alcance
Se trata de la fase con menor duración y presenta una necesidad de recursos baja. No obstante, su ejecución es imprescindible ya que aquí se determinarán qué activos, sistemas o procesos son críticos, es decir, aquellos cuya indisponibilidad impactaría directamente sobre nuestra organización, causando un cese imprevisto de la actividad.
Fase 1. Análisis de la organización
Esta fase basa su actividad en obtener, elaborar o comprender las circunstancias que rodean a nuestra organización, analizando tanto procesos, como tecnologías o recursos. Para conseguir esta panorámica, deberemos llevar a cabo un conjunto de tareas, como reuniones con responsables de procesos, Análisis de Impacto sobre negocio, Análisis de riesgos, etc.
Fase 2. Determinación de la Estrategia de Continuidad
Esta fase se basa en determinar qué estrategias de recuperación se deberán implementar para cada uno de los elementos identificados como críticos o que pudieran verse afectados en una contingencia. Es decir, cómo recuperar un sistema o un proceso para evitar que la contingencia lo degrade de manera irreversible para la organización.
Fase 3. Respuesta a la contingencia
En esta fase se comienza con la implantación de las iniciativas que se han puesto de manifiesto en la fase anterior. Además, se deberá abordar toda la documentación relacionada con la respuesta a la contingencia, a través de los siguientes documentos: Plan de crisis, Planes operativos de recuperación de entornos, Procedimientos técnicos de trabajo,
Fase 4. Prueba, mantenimiento y revisión
Para que un Plan de Continuidad sea eficaz, deberemos comprobar que realmente funciona y mantenerlo actualizado. Para ello, habrá que ejecutar una serie de pruebas sobre los entornos identificados, tras las cuales elaboraremos unos informes que recojan los resultados obtenidos. Además, deberán quedar reflejados todas las incidencias surgidas en este proceso, algo indispensable para poder establecer medidas correctoras.
Fase 5. Concienciación
Que la concienciación forme parte de la última fase no implica que sea menos importante que las predecesoras. En esta fase se pondrán en marcha todo tipo de medidas que fomenten la concienciación del personal en materia de continuidad y el conocimiento de los planes elaborados. El público objetivo será tanto personal técnico como de negocios, si tienen algún tipo de relación con el alcance.
En toda estrategia de continuidad, los Planes de Recuperación, junto con las acciones previas de identificación, protección, detección y respuesta, nos permiten impulsar una solución enfocada en la protección de los sistemas de información, para recuperar la normalidad en el menor tiempo posible.
Este es el principal objetivo de la ciberseguridad en el BCP: la optimización de los puntos débiles con el fin de disminuir riesgos ante amenazas y obtener sistemas de información más resilientes y capaces de ofrecer una respuesta más robusta en los momentos más críticos.
La prevención es nuestra mejor aliada ya que nos permite minimizar el impacto, pero en muchas ocasiones no es imposible prever los daños potenciales que puede sufrir una organización durante un incidente, como un ataque, por ello, el último recurso, la recuperación, ha de ser robusto ya que nos permitirá volver a estar operativos cuando todo lo anterior falle.
Óscar de Eugenio Santisteban
Director Comercial
ValoraData
- La importancia de las copias de seguridad offline - 24/03/2021
- Cómo garantizar la Continuidad de Negocio tras una Contingencia - 17/02/2021
- Feliz Navidad y próspero 2021 - 23/12/2020
