Ciberseguridad y Cumplimiento Simplificado para Startups y PYMEs en México y LATAM 🔐
La suspensión de operaciones en una empresa de manera inesperada puede provocar grandes pérdidas. Si bien hay eventos que no pueden evitarse, una organización puede anticipar los diversos escenarios que la afectarían y definir las soluciones que más le convienen para superarlos lo más rápido posible.
Esto es posible con la ayuda de la tecnología y la creación de un plan de recuperación de desastre o DRP ¿Sabes en qué consiste y cuál es su alcance? Veamos a continuación.
Un plan de recuperación de desastres o DRP (siglas del inglés disaster recovery plan) es la estrategia que una empresa ha decidido seguir para tener la ciberseguridad necesaria y restablecer los servicios de tecnología de la información (TI) después de un incidente inesperado, que puede ser:
El DRP ayuda a una organización a solucionar la pérdida de datos que se produzca y establece objetivos de recuperación para reanudar rápidamente las funciones de misión crítica. Este plan también puede ofrecer a las empresas la capacidad de almacenamiento y de red en servidores en la nube como AWS (Amazon Web Services).
En ocasiones, hay quienes confunden el DRP con la alta disponibilidad e, incluso, los usan como sinónimos cuando en realidad son distintos. Mientras el DRP realiza copias de seguridad muy completas y facilita el reinicio de la sustitución de los sistemas debido a una interrupción del servicio, la alta disponibilidad se refiere a los sistemas o secciones que permanecen en funcionamiento o apenas se ven afectados durante algunos periodos de inoperancia.
La principal diferencia entre ambos es el alcance. Un plan de continuidad de negocio o BCP (siglas del inglés business continuity plan) se enfoca en prevenir interrupciones de los servicios cruciales que ofrece una empresa y restablecer las funciones totales lo más rápido posible.
Un DRP es una parte fundamental de un BCP, pero éste último abarca una visión global de las funciones de la empresa, mientras que el DRP se enfoca en la infraestructura de TI para restituir el acceso de los usuarios al sistema de la organización ante algún tipo de desastre.
El DRP establece las acciones que se deben ejecutar para la recuperación de datos y así poder resolver cualquier eventualidad que impida al personal acceder al sistema. El plan de continuidad del negocio establece toda la estrategia que se debe cumplir ante cualquier situación, no solo un hecho repentino.
Ninguna organización en el mundo es inmune a las interrupciones inesperadas. Tener un DRP permite reducir los efectos de un desastre en las funciones de la organización, de manera que las actividades usuales puedan continuar de forma rápida en los siguientes aspectos:
Esto garantiza la seguridad de la información vital en el menor tiempo posible, sin importar que la empresa haya tenido ciberataques, sufriera la pérdida de equipos, oficinas o copias de seguridad.
El tiempo de inactividad se reduce al máximo para no afectar la buena relación comercial que se tenga con proveedores y clientes.
Mientras tanto, el periodo que dure la interrupción del servicio se atenderán y mantendrán informados sobre lo que ocurre para evitar pérdidas por cancelaciones o retrasos.
Si los equipos están organizados y capacitados para actuar rápidamente según las funciones que les corresponde, el restablecimiento de los sistemas críticos permitirá reducir las pérdidas.
Cuando tienes un plan de contingencia con las funciones de todo el personal bien establecidas, sabrán cómo actuar en una situación extrema mientras transcurre el tiempo de recuperación.
Tener un respaldo te servirá para proteger los datos en caso de que ocurra algún evento negativo. De esta manera, se podrá disponer de ellos de manera inmediata mientras se resuelve el problema que generó la interrupción.
Para poder crear un DRP efectivo es necesario seguir estos pasos básicos:
Considera todos los procesos comerciales que son indispensables para que haya continuidad del negocio y cuál es el tiempo máximo que puedes estar sin ellos.
También necesitarás hacer un análisis de impacto empresarial (BIA, en inglés business impact analysis) para realizar una evaluación de riesgos, puntos críticos y estimar el costo del tiempo de inactividad.
Hay tres métricas importantes que debes incluir en tu DRP para poder tener estrategias viables para el negocio: RPO, RTO y MTD.
El objetivo de punto de recuperación o recovery point objective (RPO) se refiere al tiempo máximo aceptable que puede pasar desde que se hizo la última copia de seguridad de datos y el incidente.
El tiempo objetivo de recuperación o recovery time objective (RTO) es el tiempo que deberá transcurrir para que un negocio pueda recuperar sus sistemas, a partir del incidente.
El tiempo de inactividad máximo tolerable (MTD o Maximum Tolerable Downtime) es el tiempo máximo absoluto que puede pasar para que las aplicaciones, datos o hardware más importantes no estén disponibles antes de que se produzcan pérdidas o daños irreversibles.
Elabora los procedimientos para crear alternativas que garanticen la disponibilidad de los recursos tecnológicos ante cualquier interrupción. Las estrategias de recuperación deben estar destinadas a cada uno de los escenarios posibles, tales como indisponibilidad del sistema de procesamiento de datos, del sistema operativo o del servicio de proveedor nube, falla de software, caída de la base de datos, entre otros.
El personal debe conocer el plan de recuperación ante desastres y las responsabilidades que tiene cada quien durante la ejecución del mismo para que se cumplan los objetivos.
El DRP se debe probar con regularidad para asegurarse que todos los involucrados sepan cuáles son sus responsabilidades y cómo deben ejecutarlas. Esto también ayudará a conocer si el plan está bien diseñado o requiere una actualización.
Contar con un BCP y un DRP bien estructurados puede ser el punto de diferencia entre reaccionar ante una emergencia de forma rápida y acertada y no poder mantener las actividades de la organización.
Un plan de recuperación ante desastres reducirá el riesgo de detener las operaciones y garantizará la continuidad de una empresa en medio de la crisis. Este plan otorga una protección básica a los sistemas y las operaciones de una organización que debe ser complementada con otras estrategias de ciberseguridad.
Pocas empresas conocen el impacto financiero o más aún cómo cuantificar el impacto financiero tras un evento de desastre.
El DRP ayuda a identificar los costos de recuperación reales en diferentes escenarios de contingencia o desastre y cuál sería el impacto financiero si no se cuenta con un DRP.
Ese impacto se podría calcular tomando en cuenta los siguientes elementos:
Gracias a esta información la alta dirección decidirá si considera importante tener un DRP o afrontar un evento de desastre sin tener los protocolos necesarios para mitigar los impactos de negocio por omitirlo.
Todas las pymes y startups deberían contar con un CISO que genere estrategias adaptadas a sus necesidades particulares y que proponga el uso de productos como Apolo, para que el negocio crezca de manera rápida y segura.
En Delta Protect simplificamos la ciberseguridad y el cumplimiento de tu empresa. Si quieres conocer estrategias de ciberseguridad para pymes y startups, contacta a nuestros expertos.
Experto en Seguridad de la Información con más de 25 años de experiencia en el sector financiero y farmacéutico para diversas empresas en México, como Citibanamex, Banca Mifel, Volkswagen Bank, GBM y SANFER entre otros. Se ha especializado en la gestión de riesgos tecnológicos con la finalidad de sensibilizar a los grupo de Dirección sobre la importancia de certificar a las empresas como medio que agrega valor y confianza a autoridades, clientes e inversionistas.
