“Gracias a la alianza con Delta Protect, Atrato ha logrado avances significativos hacia la certificación ISO 27001, fortaleciendo notablemente su seguridad y cumplimiento. El soporte continuo y las asesorías expertas de Delta, combinadas con la innovadora plataforma Apolo, han sido fundamentales para acelerar y optimizar nuestro roadmap, permitiéndonos enfrentar y superar eficazmente cualquier desafío en seguridad de la información.”
“Tras 3 meses de colaboración efectiva con Delta Protect, estamos impresionados con los resultados y la cobertura del programa de Pentesting de CISO As a Service. Hemos detectado y abordado vulnerabilidades clave, mejorando significativamente nuestra seguridad de la información. Los entrenamientos de Ciberseguridad y ejercicios de Phishing han sido cruciales para aumentar la conciencia de nuestros colaboradores. Agradecemos el seguimiento y apoyo continuo de Delta Protect y esperamos alcanzar más objetivos juntos.”
“Nuestra colaboración con Delta Protect marcó un hito en nuestra seguridad digital. Su enfoque meticuloso y detallado en el Pentest reveló vulnerabilidades ocultas que habían pasado inadvertidas, demostrando una eficacia y rapidez impresionante en su resolución. Además, su servicio de CISOaaS transformó nuestra estrategia de ciberseguridad, donde su equipo experto nos guió en el desarrollo de políticas robustas y procesos efectivos.”
“Me complace enormemente relatar la experiencia positiva y enriquecedora que hemos tenido con Delta Protect y su sobresaliente servicio de Chief Information Security Officer as a Service (CISOaaS). Representando al departamento de TI de Sperientia, quiero expresar mi profunda gratitud y aprecio por el alto nivel de calidad y profesionalismo evidenciado en nuestra colaboración con el equipo de Delta Protect. Desde el inicio de nuestra asociación con Delta Protect, hemos observado un compromiso y una excelencia excepcionales, superando ampliamente nuestras expectativas.”
“Mi experiencia con el equipo de especialistas de Delta Protect ha sido tremendamente positiva. En todo momento, han mostrado un alto grado de profesionalismo, experiencia y conocimiento, manejándose con una ética impecable. Su atención al detalle y su disposición para resolver problemas y brindar apoyo han sido imprescindibles. Como CISO, valoro enormemente contar con aliados tan confiables y competentes, que contribuyen significativamente a fortalecer la postura de ciberseguridad de mi compañía.”
Nuestra reciente experiencia con Delta Protect en el pentesting fue excepcional. Nos brindaron asistencia crucial para identificar y fortalecer aspectos de seguridad en variados sistemas e interfaces, abarcando front-end, back-end y aplicaciones móviles. Su enfoque ágil y sumamente profesional fue notable. Sin duda, confiaríamos nuevamente en Delta Protect para asegurar la integridad de nuestros sistemas.
Estoy absolutamente impresionado con la experiencia brindada por Delta Protect. Son, sin duda, el proveedor más responsable y cumplidor que hemos tenido el placer de colaborar.
Mi trayectoria con DeltaProtect se remonta a mi empleo anterior, donde ya tenía contacto con ellos desde el equipo de Ciberseguridad. Solicitamos pruebas de penetración (PT) para aplicaciones web y móviles. Mi experiencia con varios proveedores, grandes y pequeños, me ha demostrado que DeltaProtect se destaca significativamente. Sus informes y hallazgos son superiores, identificando vulnerabilidades que otros proveedores no detectaron. Lo que más valoro es la profundidad de sus pruebas y el enfoque en vulnerabilidades que requieren un análisis más detallado, más allá de los resultados automáticos.
"Delta Protect fue una solución óptima para nosotros. Buscábamos un proveedor bien actualizado técnicamente, que entendiera nuestro modelo de negocio y que nos diera la certeza de poder transmitir solidez a nuestros clientes. El trato del equipo Delta y sus procesos han superado nuestras expectativas, sin duda seguiremos trabajando juntos.”
"¡La experiencia general de trabajar con Delta Protect ha sido simplemente excelente! El equipo responde con velocidad, aclaran todas las preguntas a medida que surgen y el apoyo brindado durante todo el proceso es excelente. Lo Recomendaría sin dudarlo.”
"El servicio de Delta Protect es altamente profesional. Quedamos muy satisfechos con el resultado. Ofrecieron acompañamiento en todo momento para encontrar y solucionar las vulnerabilidades que encontraron en nuestro sistema.”
¿Qué es un plan de continuidad de negocio? Claves e importancia
Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
Introducción
¿Te has preguntado cuál sería el impacto a tu negocio si tus servicios o procesos dejan de funcionar?, ¿qué ocurriría en caso de perder clientes?, ¿cuál sería el impacto financiero por tener a tu plantilla laboral inactiva durante una contingencia?, ¿cómo te afectaría desde el punto de vista legal?
Estos y muchos otros escenarios se deben prever para tener una idea de la magnitud del daño que se puede sufrir y cuáles son los procedimientos a ejecutar al momento de una interrupción del servicio para minimizarlos. Para ello se creó el plan de continuidad de negocio. Conoce en qué consiste, cuáles son los pasos que se deben cumplir durante su creación y cuál es su relevancia.
¿Qué es un plan de continuidad de negocios?
Un plan de continuidad de negocios o BCP, por sus siglas en inglés (Business Continuity Planning), es un documento que describe los procesos y sistemas de la empresa, sus posibles fallas y cómo atenderlas.
Incluye planes de contingencia para los problemas que puedan presentarse en diferentes ámbitos de la compañía, bien sea por ciberataques, desastres naturales o cualquier error que ponga en riesgo su correcto funcionamiento.
Origen y desarrollo del plan de continuidad de negocio
La planificación de la continuidad del negocio surgió a principios de la década de los 70, teniendo como base el plan de recuperación de desastres. A partir de 1980, se ofrecían servicios enfocados en la recuperación de tecnología de la información (TI), pero ya en los años 90 las empresas pensaron que debían ir más allá y proteger todos los elementos del proceso.
El BCP es más completo que un plan de recuperación ante desastres (disaster recovery plan-DRP), debido a que describe cómo seguirán funcionando los procesos empresariales, la infraestructura de las tecnologías de la información, recursos humanos, los activos y los socios de negocio durante una interrupción no programada de un servicio, tanto a corto como a largo plazo.
Esta guía establece los procedimientos de gestión de riesgos para evitar la interrupción de los servicios y los procesos más esenciales. Suele incluir una lista de comprobación con el equipamiento, los suministros, las copias de seguridad de los datos y las ubicaciones de esas copias de seguridad. Además, debe tener información de contacto del personal de emergencia y esencial, así como de los proveedores de los sitios de respaldo.
Plan de continuidad de negocio y Norma ISO 22301
El plan de continuidad de negocio de una organización está basado en la Norma ISO 22301, un estándar internacional que reúne 109 requisitos que deben cumplirse para enfrentar algún incidente antes de que genere una crisis interna y externa.
Esta normativa fue creada por la Organización Internacional de Normalización (ISO) y está vigente desde mayo de 2012. Busca reducir la posibilidad de que se produzcan incidentes que ocasionen interrupciones en la empresa y garantizar su recuperación gracias a la implementación de un sistema de gestión de continuidad.
Entre los beneficios de la norma ISO 22301 se encuentran la coordinación entre los empleados, contar con las respuestas necesarias en caso de una crisis, la identificación de los riesgos y el mejoramiento de la reputación. A una empresa se le puede hacer una auditoría de conformidad con esta norma. Al obtener la certificación, la compañía le demuestra a los clientes, proveedores y empleados que está blindada en materia de gestión de continuidad.
Puntos clave para un plan de continuidad de negocio eficaz
Como se trata de una hoja de ruta para cualquier negocio, el BCP debería contener estos puntos clave para una mayor eficacia:
Estrategia
El plan aborda de qué manera el equipo de trabajo debe completar sus tareas durante el tiempo que dure la emergencia para garantizar la continuidad de las operaciones empresariales.
Si una compañía no tiene un Chief Information & Security Officer (CISO) o director de ciberseguridad, esto puede afectar la visión estratégica de una empresa porque se desconoce el impacto real que ocasiona un incidente.
Con el complemento de Apolo: CISO as a Service de Delta Protect, la empresa tendrá a su disposición a un director y un equipo de expertos que se enfocarán en establecer estrategias de recuperación, trabajará para robustecer la seguridad, ayudará a conservar y mejorar la marca, generará confianza en los clientes y empleados y mitigará el riesgo financiero.
Organización
Se deben definir las responsabilidades que asumirán los empleados en caso de presentarse una emergencia y establecer cómo será la comunicación dentro de la estructura organizacional.
Planes y datos
Establece cuál es el software necesario para habilitar las operaciones de una empresa y el método que se debe ejecutar para aumentar la disponibilidad de que se implemente.
Cataloga los datos clave sobre los bienes que se utilizan en la realización de funciones críticas, los proveedores, el personal, los sistemas de TI, los clientes, los números de serie, las garantías, los acuerdos de licencia, los contactos, entre otros. Además, se deben documentar los acuerdos sobre mudar las operaciones a ubicaciones o instalaciones de TI temporales, si aplica el caso.
Determina a quién llamar según el área y en qué orden se hará el contacto con los involucrados. En ocasiones puede ser necesario interactuar con los medios, así que se debe tener bien definido quién puede ser el vocero, según el caso, aunque lo más recomendable es quedarse con una estrategia donde solo el CEO sea quien informe.
Procesos
Menciona cuál es el proceso empresarial indispensable para mantener a la compañía en funcionamiento. Además, especifica la tecnología de información utilizada para garantizar que no haya algún problema durante las operaciones.
Tecnología
Debe contemplar las redes, los sistemas y las tecnologías esenciales para garantizar que las operaciones y la productividad no sean interrumpidas y se puedan realizar copias de seguridad de los datos y las aplicaciones.
Riesgos y vulnerabilidades
Las situaciones de emergencia pueden afectar a la empresa, a sus proveedores y a los proveedores de terceros. Por eso es importante que el plan de continuidad incluya esos riesgos y vulnerabilidades que se pueden presentar y cómo enfrentarlos. El BCP de tus proveedores también te puede ayudar a completar algunas variables que debes incluir.
Integración en TI
Considera la información de la empresa según su prioridad e incluye estrategias para gestionar las interrupciones de TI que se presenten en redes, computadoras personales, servidores y dispositivos móviles. Además, aborda cómo restablecer la productividad y el software empresarial para satisfacer las necesidades más importantes.
Gestión
La gestión de la continuidad del negocio, también conocida como BCM por sus siglas en inglés, es una parte vital del proceso de seguridad porque no solamente se necesita lograr la capacidad de continuar con la operatividad, sino también de mantenerla.
A partir del proceso en el que se identifican las amenazas potenciales, los puntos débiles y los riesgos operacionales que puede sufrir una compañía, se traza un plan de ruta que permita minimizar el impacto de lo que ocurra. El objetivo es garantizar una mejora continua de todos los procesos.
Importancia de un plan de continuidad de negocio
Cuando de escalar un negocio se trata, anticiparse a los riesgos es esencial. Esto se logra gracias a un BCP que ofrece una serie de ventajas:
- Permite tener un conocimiento profundo de los recursos, procesos, riesgos y vulnerabilidades de la empresa.
- Facilita la toma de decisiones ágiles y asertivas en momentos críticos.
- Ayuda a minimizar las pérdidas del negocio ante una contingencia a corto, mediano y largo plazo.
- Establece las prioridades en la protección de los activos para que se recuperen primero los más importantes y, de manera progresiva, se atiendan los demás componentes que tienen un valor para la empresa.
- Protege la reputación de una marca y proporciona una importante ventaja competitiva frente a la competencia debido a su rápida recuperación.
- Previene impactos de negocio en materia comercial, regulatoria, financiera u operativa.
- Ayuda a minimizar el tiempo de inactividad por pérdida de datos, fallas tecnológicas, crisis corporativas u otros eventos.
- Ante un incidente grave de seguridad, permite mantener el nivel de servicio en ciertos límites predefinidos, mientras se intenta restablecer actividades.
Rendimiento y recuperación de la empresa
Esta guía incluye dos métricas esenciales para conocer el rendimiento de la empresa en términos de recuperación: el RTO (Recovery Time Objective) y RPO (Recovery Point Objective).
El RTO se refiere al tiempo de recuperación de los sistemas que un negocio necesita debido a que un incidente produjo una inactividad. Para definir ese periodo se debe conocer el tiempo de restauración que ofrece el proveedor de nube que tenga la empresa y cuánto demora la restauración del servicio caído.
En el caso del RPO, se establece cuál es el tiempo máximo aceptable que debe transcurrir entre el momento en el que se realizó la última copia de seguridad de los datos y un evento inesperado que afectó la operatividad de la empresa.
Todos los elementos que incluye un plan de continuidad del negocio lo convierte en un documento clave para cualquier proyecto de seguridad de la información.
Pasos para definir un plan de continuidad de negocios
Existen cuatro pasos indispensables que se deben seguir al momento de definir un plan de continuidad del negocio:
Análisis de la empresa
Un BCP eficaz necesitaría en primer lugar un análisis de impacto empresarial o Business Impact Analysis (BIA) que permita identificar y recopilar toda la información de la organización, definir cuáles son los procesos de negocios críticos y de qué manera se le dará soporte según las necesidades que se presenten.
Esas funciones críticas de negocio que contempla el análisis del impacto se deben clasificar de acuerdo con su criticidad. Aquí se incluyen los casos de desastres y emergencias, la pérdida o el retraso de los ingresos, el aumento de los gastos, las sanciones contractuales, entre otros.
Gracias al BIA se analizan los procesos de negocio para conocer el impacto que se generará en caso de que haya un incidente que interrumpa los procesos, para que luego la continuidad de negocio se centre en aquellos en los que la disponibilidad es vital.
Desarrollo del plan de continuidad de negocio y diseño
A partir de la identificación de los procesos críticos en el BIA y la evaluación de riesgos para el negocio, se establecen las soluciones apropiadas para garantizar la continuidad de las operaciones y cumplir con los requisitos detallados durante la etapa de análisis.
Ese plan de respuesta que se va a desarrollar para cada elemento identificado como crítico abarca tres aspectos:
- La recuperación de los entornos o sistemas de trabajo: aquí se pueden incluir los correos electrónicos, el sistema operativo y otros recursos similares.
- Procedimientos técnicos: se refiere a las acciones que se realizan para gestionar y recuperar cada área.
- Plan de crisis: contiene las decisiones que se deben tomar en momentos de crisis.
Implementación
En esta fase se ejecutan las soluciones establecidas en las etapas de análisis y diseño durante la creación de un plan de continuidad. El objetivo es detectar los puntos débiles o erróneos para mejorar la guía.
Pruebas, mantenimiento y revisión
En esta etapa es muy importante contar con los recursos tecnológicos necesarios para crear planes de prueba, mantenimiento y revisión. A partir de los resultados obtenidos, se definirá qué prácticas fueron correctas y cuáles se deben mejorar por el bien de la compañía.
Esa validación de la efectividad del plan de continuidad permite asegurar que las estrategias de continuidad se corresponden con el tamaño, la complejidad y el tipo de empresa, y que haya una actualización constante y oportuna.
Las pruebas se realizan mediante una simulación de las situaciones reales de incidencias que afecten los servicios. A partir del resultado se realiza un informe detallado sobre la aplicación del BCP que sirva de guía base para establecer medidas correctoras y futuras actualizaciones.
Conclusiones
No debes preocuparte si sientes que no puedes desarrollar alguno de estos pasos para definir un plan de continuidad, ni la complejidad de la operación y la tecnología de tu empresa. El equipo de Delta Protect está conformado por expertos en diferentes áreas para orientarte y entender las necesidades del negocio y detectar los riesgos más críticos.
En Delta Protect simplificamos la ciberseguridad y cumplimiento de su empresa: agenda una demo de Apolo con nuestros expertos para asesorarte.
Egresado de Ingeniería en Tecnologías Computacionales por el Tecnológico de Monterrey. Hácker Ético Certificado, especializado en Red Teaming, Auditorías de Seguridad en Aplicaciones Web e Infraestructura. Integrador de soluciones en el área de Ciberseguridad para empresas Fintech en México y LATAM.
