El plan de contingencia: cómo prepararse ante fallos de seguridad
- Fecha: 19 August, 2021
A pesar de los grandes esfuerzos de una organización para prevenir el tiempo de inactividad y evitar situaciones comprometidas, los fallos de seguridad seguirán ocurriendo cada cierto tiempo.
"Estoy convencido de que sólo hay dos tipos de empresas: las que han sido hackeadas y las que lo serán", dijo Robert Mueller, ex director del FBI, en un comunicado. "Incluso eso se está fusionando en una sola categoría: las que han sido hackeadas y lo serán de nuevo".
Ante esta situación, ¿qué hace su organización al respecto? ¿Cómo se prepara ante los posibles fallos y brechas de seguridad?
Análisis del impacto en el negocio
Aunque muchas organizaciones han evaluado el riesgo en sus esfuerzos por establecer su postura inicial de seguridad, tal y como se define en su política de seguridad organizativa, pocas han dado el paso avanzado de realizar una evaluación de riesgos sobre la base de los procesos de negocio.
El concepto de análisis del impacto en el negocio es la aplicación del análisis de riesgo cuantitativo y cualitativo en los procesos de negocio en lugar de los activos individuales. El objetivo es comprender qué procesos son de misión crítica, importantes, necesarios o deseados/opcionales, así como las dependencias y requisitos de cada proceso.
Una vez comprendidos, los resultados del análisis del impacto en el negocio pueden conducir a una organización a una adecuada planificación de la continuidad del negocio y de la recuperación de desastres.
Plan de comunicación
La comunicación es una parte esencial del éxito de una empresa. Es fundamental comunicarse con eficacia dentro de la organización y con las entidades externas. Un plan de comunicación ayuda a aclarar las líneas y los métodos de comunicación. Establece un criterio de clasificación o valoración de todos los datos y fuentes de información.
Aclara dónde se puede intercambiar libremente la información y define las limitaciones, restricciones y límites para proteger la información cuando no se puede intercambiar libremente (como la PII (información personal identificable), la PHI (información sanitaria protegida), la IP (propiedad intelectual), los secretos comerciales u otras formas de información privada o de propiedad). Un plan de comunicación también se centra en las relaciones públicas de una organización y establece una "cara" o imagen cuando se comunica con el público.
Plan de contingencia
Un plan de contingencia es una política integrada diseñada para proteger a la organización de caer en un desastre en caso de que se produzca un compromiso o un fallo menor o modesto. El plan de contingencia aborda dos cuestiones principales:
- En primer lugar, se centra en los medios para restablecer la normalidad cuando las operaciones de la empresa están amenazadas. Mientras la organización está operando con una capacidad limitada, con capacidades reducidas o con recursos restringidos, el plan se esfuerza por evitar una interrupción total mientras trabaja para resolver los problemas y volver a la capacidad normal, estable y completa. Este aspecto suele denominarse plan de continuidad del negocio.
- En segundo lugar, el plan de contingencia implementa protecciones adicionales y medidas preventivas para evitar que estas formas de problemas cercanos al desastre afecten realmente a la empresa en primer lugar. Con un plan correctamente mantenido, las organizaciones pueden evitar muchos casos de pérdida o reducción de la productividad, a la vez que son capaces de restablecer eficazmente las operaciones completas en caso de que aún se produzca un incidente.
Plan de recuperación de desastres
Un desastre informático es la interrupción total de cualquier tarea empresarial de misión crítica. Una vez que una tarea de misión crítica está fuera de línea, la organización está en juego. Si no se recupera rápidamente al menos una parte de las operaciones, un desastre podría significar que la empresa paralice su actividad permanentemente.
Un plan de recuperación de desastres suele incluir la preparación de un sitio de operaciones alternativo. Un centro de operaciones alternativo puede ser un duplicado del principal, el uso de múltiples ubicaciones en lugar de una única, el uso de servicios en la nube o muchas otras opciones.
La idea es proporcionar un medio para realizar las tareas empresariales de misión crítica mientras se repara el sitio primario. Hay muchos elementos esenciales en un plan funcional de recuperación de desastres, como las copias de seguridad y la recuperación, las sustituciones de hardware, la gestión de las instalaciones, la gestión del personal, la formación, los simulacros y el mantenimiento del plan, entre otros.
Otros aspectos relacionados
Las competencias básicas de ciberseguridad, como la protección de activos, la gestión de amenazas, el control de acceso, la gestión de incidentes, la gestión de la configuración y la planificación de contingencias, abordan todas las preocupaciones esenciales para una organización a la hora de diseñar y desarrollar una postura de seguridad.
Sin embargo, hay algunas otras preocupaciones importantes relacionadas que debe incluir en su evaluación general y planes de preparación:
Concienciación sobre la seguridad
La concienciación sobre la seguridad es una cuestión de operaciones empresariales y de formación. El objetivo de una empresa es que todos sus miembros trabajen para conseguir un objetivo común y coherente, es decir, operaciones eficientes y productivas para proporcionar productos y servicios competentes. Para lograr ese objetivo, los trabajadores, los gerentes, los administradores e incluso los ejecutivos de nivel C necesitan una formación en seguridad específica para sus tareas y requisitos de trabajo.
La concienciación y la formación en materia de seguridad deben comenzar con ideas básicas que sean comunes y estáticas en toda la organización, como no compartir las contraseñas, si se abre una puerta hay que cerrarla y volver a cerrarla, e informar de cualquier suceso o comportamiento sospechoso. Una vez establecida la concienciación, la formación específica del puesto de trabajo puede basarse en esa base para permitir a todos realizar sus tareas laborales con mayor eficiencia y habilidad dentro de los límites de la seguridad.
Certificación y acreditación
Tanto si se trata de una organización estatal, una división militar, una institución financiera, una organización médica o un establecimiento minorista, casi todas las organizaciones tienen leyes, reglamentos y/u obligaciones contractuales que cumplir. El incumplimiento de la normativa suele ser motivo de pérdida de la autorización para operar, pérdida de contratos y financiación, acciones legales y/o multas. Las autoverificaciones o auditorías periódicas de cumplimiento por parte de terceros ayudan a garantizar que su organización no sólo está asegurada en términos de las mejores prácticas empresariales generales, sino que también se centra en las amenazas reales de ciberseguridad, y cumple con los requisitos conocidos en función de su sector o afiliación.
Este proceso suele comenzar con un autoanálisis para evaluar el nivel de cumplimiento o falta de cumplimiento de una política, marco, norma o reglamento de seguridad. Una vez que haya abordado todas las lagunas o fallos conocidos en su cumplimiento, puede solicitar una verificación realizada por un evaluador o auditor designado y aprobado (interno o externo/tercero).
A medida que aumenta el número de leyes, reglamentos y obligaciones contractuales a los que su organización debe ajustarse, una sólida comprensión de los requisitos, así como de los procesos de evaluación, es aún más una habilidad empresarial esencial necesaria para mantenerse en cumplimiento y funcionamiento.
Actúa
Ahora que sabes más sobre los planes de contingencia, debes recordar que esto es sólo un punto de partida para obtener conocimientos de seguridad. Hay muchos otros problemas de seguridad importantes que debes tener en cuenta, pero todo el mundo tiene responsabilidades en materia de seguridad, tanto para sí mismo como para su organización. Esa responsabilidad empieza por saber más y buscar los medios para adquirir más conocimientos.
Una fuente de conocimientos adicionales son los materiales educativos que pone a disposición Global Knowledge. Global Knowledge ofrece una gran cantidad de recursos en línea y otros materiales. Recuerda que Global Knowledge también es líder mundial en formación, tanto en cursos online como en formato on demand.