miércoles, 6 de febrero de 2019

Sí, Tu Negocio también Necesita un Plan de Recuperación de Desastres

Un desastre en el ámbito de la seguridad TI es algo que compromete el sistema informático de forma inesperada, como un error humano, un ataque externo o incluso una catástrofe natural, que interrumpe la actividad normal de la empresa.
Un plan de recuperación de desastres o DRP (Disaster Recovery Plan) consiste en las medidas necesarias para hacer frente a ese evento, minimizando su impacto.
Y no pienses que porque tu empresa es pequeña este asunto no va contigo, incluso si eres un profesional que desarrollas tu actividad en un despacho en tu propia casa, porque también puedes verte afectado por un desastre informático. Imagina que eres un contable que trabajas como freelance en tu domicilio y sufres un ataque de ransomware o un virus y no puedes acceder a la información de tus clientes justo cuando se acerca el plazo de presentación de impuestos... no te digo más. Un desastre informático de proporciones bíblicas, incluso para ti que no tienes una gran empresa. Pues bien, tú también debes tener un plan ante esa situación y otras similares.
Pero que no cunda el pánico y sigue leyendo para saber más acerca de lo que és un Plan de Recuperación de Desastres y cómo llevarlo a la práctica, tanto si tienes una pyme como si eres autónomo.


Sí, tu negocio también necesita un Plan de Recuperación de Desastres
Análisis
Lo primero que debes hacer es analizar la situación, puesto que es la única manera de saber cómo actuar en caso de desastre. Los puntos básicos que deberías contemplar son:


  • Determina qué información y herramientas necesitarías recuperar en caso de desastre (máquinas virtuales, aplicaciones, librerías, datos...) y dónde se encuentran almacenados.

  • Haz un inventario del hardware y el software que emplee tu negocio para desarrollar su actividad.

  • Analiza las medidas de seguridad informática que están implementadas en la empresa. 
 
  • Define los riesgos potenciales que pueden comprometer el sistema informático.

  • Determina las prioridades a la hora de actuar ante el desastre, teniendo en cuenta su gravedad.

  • Averigua cuáles son las consecuencias de un fallo en el sistema que implique su interrupción o un funcionamiento parcial o deficiente, a esto se le llama Análisis de Impacto Empresarial (BIA, Bussiness Impact Analysis). 

  • Establece las responsabilidades y el protocolo para la toma de decisiones. 

  • Define en qué casos habrá que comunicar la incidencia a entidades externas o a las autoridades correspondientes.  

  • Comprueba cada cuánto tiempo se hace una copia de seguridad.

  • Verifica dónde y cómo se almacenan esos backups.
Definir medidas
Las medidas o pautas que se deben seguir en caso de desastre son desarrolladas y puestas en práctica por los Administradores TI.
Las medidas alcanzarán según el caso al personal técnico, al de gestión, a la dirección o incluso a toda la plantilla. 
Algunas de estas medidas implican:
Copias de seguridad
Asegúrate de que se realizan las copias de seguridad con la frecuencia necesaria para que en caso de que suceda un desastre la información que se pierda desde el último backup hasta que el sistema se vea comprometido sea la mínima posible. Esto dependerá del volumen de información que maneje tu negocio y de la cantidad de usuarios que estén trabajando en él.
También es fundamental que los backups se almacenen en un lugar seguro. Y la seguridad la garantiza que haya más de una copia, a ser posible en una o varias ubicaciones físicas y también en la nube. 


Disco duro


En el caso de la ubicación física, al menos una de las copias debería estar fuera del domicilio físico de la empresa, para que en caso de un desastre natural o un ataque físico a las instalaciones, haya otro backup disponible y protegido. Imagina un terremoto que afecta a la oficina de un administrador de fincas y que deja inservibles sus equipos informáticos, en los que están almacenadas las copias de seguridad... y nada más. Un verdadero desastre. Por lo que conviene que haya otra copia física o virtual en otra localización


La nube, siempre que el servicio sea confiable, es una forma de no necesitar otra ubicación física para tus backups y de poder acceder de forma rápida y sencilla a la información almacenada (dependiendo de las condiciones del proveedor, claro).
Otra medida importante es la de probar las copias de seguridad, puesto que si no se puede restaurar la información de forma efectiva y real, no valen para nada.  Incluso se pueden hacer simulacros de ataques o fallos en el funcionamiento del sistema para probar no sólo las copias de seguridad, sino todo el DRP.
Recuperación de la información
Además de controlar que las copias de seguridad se realicen y se almacenen de la forma correcta, es necesario que los backups se puedan recuperar de forma correcta, completa y rápida, de modo la empresa no vea afecta su funcionamiento normal, o al menos que se vea perjudicado mínimamente, tanto en imagen como en pérdidas económicas.
Para recuperar estas copias también es necesario contar con un protocolo para tener disponible hardware y software para hacerlo. Si tienes contratado un servicio de respaldo profesional, se ocuparán ellos, pero si no es así, tendrás que saber cómo hacerte con equipos y herramientas que te permitan recuperar la información y volver a la normalidad.
Y también tendrás que garantizarte la conectividad para que puedas llevar a cabo todo el proceso. Una conectividad segura y no comprometida para realizar el respaldo. 


Actualizaciones
Cuando haya cambios, altas o bajas en el software o el hardware de la empresa es imprescindible actualizar el Plan de Recuperación de Desastre.
También cuando haya modificaciones en cuanto a los aspecto legales del manejo de la información.
El factor humano
La prevención de los desastres informáticos pasa indefectiblemente por la información, formación y concienciación del equipo humano, porque suele ser la mayor fuente de problemas para la seguridad TI de una empresa.
Equipo de trabajo con un puzle
En la empresa el factor humano es fundamental para mantener la seguridad TI


 En muchos casos los empleados no son conscientes de lo que puede implicar un desastre informático no sólo para el funcionamiento normal para la empresa, sino para su propio trabajo. Quizás si un trabajador supiese que si se descarga un archivo malicioso por no tener cuidado a la hora de visitar sitios potencialmente peligrosos puede implicar que todo un proyecto en el que lleva trabajando semanas puede irse al traste y tenga que rehacerlo desde cero, tendría mucho más cuidado. Y eso se consigue con formación e información. 


También es necesario establecer políticas definidas y claras respecto a:


  • Los permisos de cada usuario.

  • La instalación de software o herramientas externas y ajenas a las que se usan en la compañía.

  • El empleo de contraseñas: formato, periodicidad en los cambios de passwords, almacenamiento, discreción, etc. 

  • El uso de redes sociales: si está permitido el acceso, de la privacidad que se requiere, de lo que se puede compartir...

  • El manejo de dispositivos y equipos particulares para acceder al sistema informático de la empresa.

  • El uso de las redes WiFi para acceder al sistema desde fuera de las instalaciones de la compañía.

  • El empleo de sistemas externos de almacenamiento de la información como discos duros o USBs.
Y, finalmente, es necesario contar con un equipo de personas que estén involucradas en la respuesta al incidente, identificando el protocolo a seguir, su grado de responsabilidad, su forma de contacto, quién y cómo comunicará la situación de forma interna y externa, etc.
Automatización
Lo ideal es automatizar la respuesta y los procesos ante desastres para que estos sean lo más rápidos, seguros y eficaces posible, lo que evitará que la empresa ponga en riesgo el normal desarrollo de su actividad.


Hombre trabajando delante de una pantalla
Aprendizaje
El último paso, tras volver a la normalidad, es aprender de los errores y mejorar el plan de actuación para el futuro.
La forma de aplicar estos puntos dependerá del tamaño de tu empresa, del tipo de actividad y de la información que manejas, aunque en líneas generales debes tener todos en cuenta para que un desastre informático no ponga en riesgo tu negocio.





Post relacionados:

Cómo Perder Tu Disco Duro y No Morir de un Infarto
Sí, Aunque No lo Creas, Necesitas una VPN 
Consejos Básicos para Protegerte del Ransomware 


La primera vez que apareció el post Sí, Tu Negocio también Necesita un Plan de Recuperación de Desastres fue en el blog de Todos Somos Clientes.


Licencia de Creative Commons
Sí, tu negocio también necesita un plan de recuperación de desastres by 1 de N Tecnologías de la Información - Arancha Moreno is licensed under a Creative Commons Reconocimiento-NoComercial-CompartirIgual 4.0 Internacional License.
Publicado por
Etiquetas: , , , , ,

No hay comentarios:

Publicar un comentario

Estamos encantados de que nos dejes tus aportaciones, porque tu opinión es importante para nosotros. Sólo te pedimos que, por favor, no publiques links ni contenidos publicitarios de ningún tipo, porque estos no serán publicados. Si deseas anunciarte, contacta con nosotros previamente. Gracias.

Suscribirse a: Enviar comentarios (Atom)