¿Cuánto tiempo puede estar parada una empresa debido a caídas lógicas en los sistemas TIC? ¿Cómo puede afectar la pérdida total o parcial de los sistemas en la cuenta de resultados de una empresa? El tiempo y la afectación dependerán de cada negocio, pero según Gartner, el 40% de las pequeñas y medianas empresas que sufren una caída de sistemas que imposibilite el acceso a sus bases de datos durante más de 24h acaban quebrando.
Como ha quedado claro en las recientes pérdidas de servicio por caídas y ataques tanto de Amazon como de DropBox, ningún sistema es 100% infalible. Por ello el Ministerio de Energía, Turismo y Agenda Digital, a través del INCIBE (Instituto Nacional de Ciberseguridad) recomienda a las empresas estar preparadas para prevenir, protegerse y reaccionar ante incidentes de seguridad que puedan afectarles y que podrían impactar en sus negocios. Así pues es necesario proteger los principales procesos de negocio a través de un conjunto de tareas que permitan a la organización recuperarse tras un incidente grave en un plazo de tiempo que no comprometa su continuidad.
Planes de continuidad y Cloud
La externalización de las aplicaciones críticas de negocio (y sus datos) a la nube es una solución económica, flexible y práctica para muchas empresas, al mismo tiempo que reduce posibles pérdidas de disponibilidad de los recursos TIC debido a cortes en el suministro eléctrico, fallas en el hardware, incendios o pérdida de conectividad, entre otras incidencias. A pesar que la mayoría de proveedores de servicios en la nube aportan servicios robustos con disponibilidad garantizada mediante SLA, mucho más fiables que si los mismos estuvieran alojados en las instalaciones propias de cada empresa, siguen existiendo riesgos ajenos al proveedor cloud que pueden poner en peligro la continuidad de negocio: corrupción de bases de datos, infecciones por virus, errores humanos en la gestión, actualizaciones de software defectuosas o ataques externos.
Así pues tanto si los datos están en servidores externos como en la nube, la seguridad total no existe. Es por ello que las empresas deben analizar los riesgos para su negocio de una pérdida total o parcial de acceso a sus recursos TIC y, posteriormente, desarrollar un plan de continuidad de negocio que incluya sistemas de Backup tanto de datos como de aplicaciones.
Tipos de Planes de Continuidad de Negocio
Ya se trate de grandes empresas como de Pymes, todas necesitan diseñar un plan de contingencia que incluya el alcance del mismo, un análisis de la organización, determinar la estrategia de continuidad, protocolo de respuesta a la contingencia, una prueba efectiva del protocolo, y una concienciación de su importancia y uso. Existen 3 tipos de planes, según el alcance o ámbito que tengan.
- Plan de Continuidad de Negocio (PCN)
establece la continuidad de una organización desde múltiples perspectivas: infraestructura TIC, recursos humanos, mobiliario, sistemas de comunicación, logística, sistemas industriales, infraestructuras físicas, etc. Cada uno de estos ámbitos tendrá a su vez un plan de continuidad más específico. - Plan de Continuidad TIC, es uno de los planes que forman el plan de continuidad de negocio, pero restringido al ámbito TIC.
- Plan de Recuperación ante Desastres (PRD). Se enfoca al ámbito más técnico, de modo que es un plan reactivo ante una posible catástrofe.
Fases de un plan de Continuidad de Negocio eficiente
Partiendo de las recomendaciones de INCIBE, un plan de Continuidad de Negocio que garantice la plena recuperación de los sistemas en un breve espacio de tiempo de forma eficiente, debe estructurarse en 6 fases:
- Fase 0. Determinación del alcance:
Dependiendo de la complejidad organizativa de la empresa, abordar un proceso de mejora de la continuidad puede suponer emplear un número de recursos y tiempo excesivo. Es recomendable empezar por aquellos departamentos o áreas más críticas y, progresivamente, ir ampliando la continuidad a toda la organización. - Fase 1. Análisis de la Organización: Recopilación de la información necesaria para establecer los procesos de negocio críticos, los activos que les dan soporte y cuáles son las necesidades temporales y de recursos.
- Fase 2. Determinación de la estrategia de continuidad: Partiendo del Análisis de la Organización, determinar si en caso de desastre, la empresa será capaz de recuperar dichos activos en el tiempo necesario. En aquellos casos en los que no sea así, deben establecerse las diversas estrategias de recuperación.
- Fase 3. Respuesta a la contingencia. A partir de las estrategias de recuperación escogidas, se realiza la selección e implementación de las iniciativas necesarias, y se documenta el Plan de Crisis y los respectivos documentos para la recuperación de los entornos. En el caso de no disponer de recursos propios apropiados, INCIBE proporciona un Catálogo de empresas y Soluciones de Ciberseguridad.
- Fase 4. Prueba, mantenimiento y revisión: A partir de la infraestructura tecnológica definidas en el plan, ya sean propias o de proveedores externos, se desarrollarán planes de prueba regulares y mantenimiento.
- Fase 5. Concienciación: Más allá del análisis y la implementación es necesario que tanto el personal técnico como los responsables de la empresa conozcan qué es y qué supone el Plan de Continuidad de Negocio así como qué se espera de cada uno de ellos.
Una respuesta adecuada repercutirá positivamente en el cuidado de su imagen y reputación como empresa, además de mitigar el impacto financiero y de pérdida de información crítica.
No se trata únicamente de realizar copias de seguridad de los datos forma regular en un servidor secundario dentro de la misma empresa o datacenter, pues una afectación en los sistemas primarios afectaría casi con total seguridad al resto de equipos (por ejemplo pérdida de suministro eléctrico en una zona geográfica concreta). Es necesario disponer de sistemas de respaldo alejados físicamente de los servidores principales (la distancia mínima puede venir determinada por regulaciones específicas de cada sector) que proporcione un Backup de la información y aplicaciones críticas de negocio, y que, en caso incidencia mayor, puedan actuar como sistema principal durante el tiempo necesario para la normalización del servicio.
Existen en el mercado diferentes soluciones que permiten recuperar el servicio en un mayor o menor tiempo, aunque no todas se adaptan a las necesidades técnicas específicas del cliente, a sus requisitos legales (ubicación de las copias de seguiridad, cumplimiento de la LOPD,…), o el coste que se pueda asumir. Es importante analizar bien las diferentes opciones, conocer a los proveedores y saber exactamente donde se alojan los datos.
Adam proporciona infraestructuras TIC para Planes de Contingencia y Recuperación de Negocio basadas en plataformas IaaS en modalidad activo-activo o activo-pasivo, ubicadas en emplazamientos estratégicos en Barcelona (Parc Tecnològic del Vallès) o Madrid.
Extracto de la guía para diseñar un plan de contingencia publicado por INCIBE.
Este artículo ha sido escrito por
Adam