Tips para mejorar la reputación de la empresa con las auditorías de ciberseguridad
Esta es una cuestión que planteamos a raíz del elevado número de empresas que no llevan a cabo...
“Mi empresa no está preparada para sobrevivir a un desastre que afecte a la disponibilidad y al acceso a la información crítica”.
Entonces, es el momento de actuar. La pérdida de información puede ser ocasionada por un incidente de ciberseguridad (fallo del hardware, error humano, robo) o por un desastre (apagón, terremoto, inundación). Las características de las infraestructuras IT actuales han hecho del proceso de recuperación de la información un paso cada vez más importante a la vez que complejo.
Sin embargo, lo más grave no es perder la información de la empresa, sino las consecuencias que esto puede acarrear: interrupción del servicio, pérdidas económicas, efectos legales, pérdida de la confianza depositada por los clientes durante años, etc.
Nuestra intención en este post es contarte cuál es el proceso adecuado en la recuperación de la información. ¿Nos acompañas?
9 de la mañana. Acudes a tu oficina y descubres que la infraestructura IT de tu empresa ha sufrido una avería que impide el acceso a los datos almacenados en el sistema informático. ¿Qué haces?
Toma nota de estos puntos, porque vamos a contarte cómo realizar un plan de recuperación de desastres:
Es el mejor punto de partida, ya que te permite valorar correctamente la complejidad y los riesgos presentes en el entorno tecnológico de la empresa. Para ello, debes identificar los lugares físicos donde operan los servicios tecnológicos y los sistemas de información que hay en tus instalaciones (dispositivos de almacenamiento, aplicaciones, dispositivos de red, puntos de acceso, datos, etc.). En ocasiones, puede ser muy beneficioso crear un plano en el que puedas ver la ubicación física de cada activo.
¿Qué riesgos pueden afectar a tu empresa? Ahora que ya tienes una visión global de todos los activos digitales de la empresa y su ubicación, es recomendable determinar cuáles son las amenazas internas o externas que pueden afectarles. En esta fase, es importante contar con el apoyo de los responsables de cada departamento, ya que ellos pueden evaluar los riesgos y las vulnerabilidades de los equipos, así como las consecuencias ante una pérdida de información.
La clasificación de los sistemas de información según su nivel de criticidad facilitará la continuidad de la actividad de la organización. No se trata de aplicar diferentes criterios para cada uno de los sistemas o aplicaciones, sino que se pueden agrupar en función de su importancia. Una vez más, la opinión de los responsables de cada departamento puede servir de gran ayuda.
¿Para qué quieres llevar a cabo un proceso de recuperación de información? Ten en cuenta que cada empresa y cada ámbito implican unos objetivos diferentes. Por ejemplo: la base de datos de un banco no puede permitirse la inoperatividad, ni siquiera durante un periodo corto de tiempo. En esta fase, es importante que cada área de la empresa responda a una serie de preguntas, como: ¿Cuáles son las implicaciones de la pérdida definitiva de esta información? ¿Cuánto tiempo pueden permanecer operativos sin poder acceder a los sistemas? ¿Qué aplicaciones y bases de datos utilizan?
Es el tiempo que se tarda en solucionar el incidente antes de que los sistemas vuelvan a su normalidad. Una forma práctica de determinar este indicador es teniendo en cuenta la pérdida de ingresos que la empresa sufriría en un determinado periodo de tiempo. El RTO te ayudará a escoger las funcionalidades y servicios del sistema de backup con mayor eficiencia.
El RPO es el volumen de información en riesgo de pérdida que la empresa considera tolerable. Por tanto, determina el objetivo de la posible pérdida de datos introducidos desde el último backup hasta la caída del sistema. El nivel de tolerancia que tenga la empresa puede implicar márgenes temporales muy amplios o muy reducidos. En cualquier caso, el RPO determinará también la frecuencia con la que deberías realizar los backups.
¿Cómo vas a garantizar cada una de estas fases? ¿De qué herramientas dispones? Los datos cuya pérdida no impacta sobre el funcionamiento del negocio pueden estar respaldados por backups nocturnos, algo que no podemos hacer con la información de mayor valor, dado que necesita un nivel mayor de protección. Por último, la automatización de los procesos de recuperación de la información son imprescindibles en cualquiera de las soluciones que escojas finalmente.
Es importante definir todos los roles y las responsabilidades involucradas en la elaboración del plan de recuperación de la información ante un posible desastre.
Las personas involucradas en la consecución de los objetivos de la empresa deben aportar su punto de vista durante la planificación, así como ponerse de acuerdo con las prioridades del equipo IT y los SLAs. La creación del sistema de recuperación de desastres no debe limitarse únicamente al Data Center o al equipo tecnológico de la organización.
Todo el proceso de recuperación de la información debe estar documentado con el fin de garantizar que se conservan los protocolos definidos, así como facilitar la comunicación interna. ¿Cuál es el procedimiento a ejecutar y los pasos a seguir?
Antes de ponerlo en marcha, debes ponerlo a prueba para comprobar que todo funciona correctamente, evitar errores, determinar la compatibilidad de los procedimientos establecidos, identificar las áreas que necesitan algún tipo de cambio, etc.
El plan podría necesitar actualizaciones en cualquier momento (cuando se produce un cambio sustancial en la empresa que afecta al RTO y al RPO). Aunque la realización del plan de recuperación requiere tiempo y dedicación, es un factor clave para garantizar la supervivencia de la compañía.
Si vas a contratar un servicio de backup, recuerda definir tu plan de recuperación de la información. ¿Necesitas más información sobre los servicios de continuidad de negocio de Cibernos? Podemos ayudarte.
La trayectoria profesional de Eliseo está a caballo entre áreas técnicas y marketing. Actualmente trabaja en el desarrollo de nuevos productos y servicios de Cibernos, tales como "Motor de Cumplimiento", producto específico para el control del cumplimiento, y "TaaS" (Truth as a Service) que utiliza Blockchain para la protección de las evidencias que deban ser utilizadas ante litigios (secretos empresariales, cumplimiento, publicaciones de los medios, actas de comités, tramitación en las AAPP,...).
Esta es una cuestión que planteamos a raíz del elevado número de empresas que no llevan a cabo...
Hablar de transformación implica hacer un cambio. Modificar o alterar algo manteniendo un punto...
Se espera que el mercado del Robotic Process Automation (RPA) alcance los USD 9416,82 millones para...