¿Verdad que has escuchado hablar de ciberataques en el mundo empresarial? Pero sabes qué es y cómo desarrollar un plan de continuidad de negocio? Ahora te lo contamos.
Habitualmente pocos empresarios de una Pyme se plantean que le ocurriría si sufrieran un ciberataque y perdiera todos los datos de su empresa. Normalmente piensan que con un buen sistema de ciberseguridad están salvados. Como dicen muchas de las empresas de ciberseguridad como por ejemplo Sophos, nadie está protegido al 100% y quien crea esto es que va muy perdido. Actualmente los ciberdelincuentes están en constante evolución, cada día están desarrollando nuevas maneras de interferir en las empresas. Si las grandes empresas están expuestas a estos ciberdelicuentes, ¿a qué no se exponen las Pymes, autónomos o microempresas? Entonces, ¿Qué posibles soluciones tenemos para proteger o asegurar los datos de nuestra empresa o negocio?
¿Qué es un Plan de continuidad de negocio?
Entendemos como plan de continuidad de negocio BCP (Business Continuity Plan en inglés) a todo conjunto de medidas que adopta una empresa para garantizar que su operación no se vea afectada, de una forma substancial, por eventos que están fuera de su control. La continuidad de negocios engloba todo lo relacionado con los esfuerzos de las empresas de operar armónicamente en cualquier circunstancia. El sistema para la recuperación de datos ante desastres o DRS (Disaster Recovery System en inglés), que es la manera en la que se recuperan los datos en caso de desastre, para que la empresa pueda seguir funcionando, y la alta disponibilidad de sistemas, son dos de las categorías que se incluyen en un Plan de Continuidad de Negocio.
El plan de continuidad de negocio es un plan logístico para la práctica de cómo una organización debe recuperar y restaurar sus funciones críticas, parcial o totalmente interrumpidas, dentro de un tiempo predeterminado después de una interrupción no deseada o desastre.
Consideraciones en un Plan de Continuidad de Negocio.
A la hora de realizar un BCP hay que tener en cuenta dos consideraciones primordiales que son el RPO (Recovery Point Objective) y el RTO (Recovery Time Objective).
- El primero se refiere al volumen de datos en riesgo de pérdida que la organización considera tolerable, es decir, determina el objetivo de posible pérdida máxima de datos introducidos desde el último backup, hasta la caída del sistema, y no depende del tiempo de recuperación.
- En cuanto al segundo, expresa el tiempo durante el cual una organización pueda tolerar la falta de funcionamiento de sus aplicaciones y la caída de nivel de servicio asociada, sin afectar a la continuidad del negocio.
El tiempo tolerable de inactividad se está acortando continuamente, debido al constante aumento de la intensidad de los procesos de negocio, su globalización y necesidad de cooperación en tiempo real entre múltiples unidades internas y externas. También, cada vez mayor número de transacciones se realiza sin soporte en papel, lo cual hace prácticamente imposible su recuperación en caso de que llegue a perderse el soporte informático.
Planes de Recuperación de Datos para la Continuidad del Negocio
DRP (Disaster Recovery Plan), plan de recuperación ante desastres, es un proceso de recuperación que cubre los datos, el hardware y el software crítico, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Es un proceso o flujo de trabajo que nos permite realizar la recuperación de los datos, ya sean de soluciones físicas o software, para que la empresa pueda comenzar nuevamente a funcionar después de un desastre natural, error humano o, como vemos hoy en día, ataques hacia los sistemas con ransomware u otro tipo de ciberataques.
Un plan de recuperación tiene por objetivo proporcionar a la empresa los medios alternos para realizar sus funciones normales, cuando los medios habituales no están disponibles debido a una contingencia.
La recuperación ante desastres se centra en los sistemas de IT que soportan las funciones empresariales críticas, y es algo diferente a lo que entendemos por Plan de Continuidad del Negocio (o Business Continuity Plan), que implica mantener los aspectos esenciales de una empresa en funcionamiento a pesar de sucesos disruptivos significativos. Se puede decir que la recuperación ante desastres es un subconjunto del plan de continuidad del negocio.
La importancia de tener y mantener un plan de recuperación ante desastres para cualquier tipo de empresa es clave a fin de evaluar el impacto en caso de una situación de desastre y ser capaces de salir rápidamente de ella para conseguir el correcto funcionamiento del negocio. Con ello nos aseguramos de minimizar los riesgos de pérdidas de capital, así como también lo más importante: evitar la pérdida de confianza hacia la empresa o clientes.
¿Cuáles son los 9 puntos a considerar para un diseño de un DRP?
Para un buen diseño de un DRP, lo primero es establecer qué queremos proteger y en cuánto tiempo debemos estar recuperado. Posteriormente el redactado del documento debe incluir el resto de las consideraciones a tener en cuenta. Estas consideraciones serán:
- Evaluar el tiempo de indisponibilidad tolerado. Esto es muy importante, ya que es necesario calibrar cuánto tiempo podemos dejar sin servicio a nuestros clientes o a los empleados antes de tener pérdidas irreparables.
- Revisar el SLA para entender las consecuencias de un desastre. En el SLA se establecen las compensaciones ante la pérdida de calidad en el servicio, por lo tanto, es un elemento crucial para dimensionar el presupuesto destinado a la prevención y recuperación ante desastres.
- Establecer los tiempos de recuperación objetivo para cada parte del negocio y servicio.
- Inventario del hardware y software, ordenado según la importancia que tiene para el negocio. Es importante tener en cuenta que las aplicaciones esenciales, para un negocio y las no esenciales, varían de una industria a otra, y cada organización define estos niveles en función de sus operaciones y requisitos.
- Los datos del proveedor o proveedores en cuanto a soporte técnico, para cada pieza de hardware o aplicación software ya que es crucial para ponerse en contacto rápidamente ante un problema.
- Orden de recuperación de cada sistema. Es importante dejar bien claro qué sistemas deben recuperarse en primer lugar, y qué otros pueden esperar. De esta manera, nada queda al azar. Junto a esta información debe ir una guía paso a paso con instrucciones precisas para efectuar la recuperación de cada sistema.
- Especificación de roles y responsabilidades. Para garantizar un procedimiento organizado y efectivo, es necesario designar responsables dentro y fuera de la organización —en el caso de trabajar con proveedores de servicio—. Disponer de suplentes o sustitutos para el caso de que el responsable de una tarea no esté en el momento preciso es vital.
- Plan de comunicación. Una vez ocurre el desastre, es importante saber comunicar bien a los clientes, proveedores, inversores, socios, colaboradores… lo que está sucediendo, así como poder indicar un plazo máximo de recuperación.
- Documentación adicional. Es bueno incluir toda referencia de interés para la recuperación de los sistemas.
Para finalizar, hay que tener en cuenta que el DRP es un documento en constante evolución. De nada sirve el esfuerzo de diseñar y crear un plan de recuperación ante desastres para tenerlo almacenado. Es necesario que los trabajadores se familiaricen con él, que sepan bien qué papel desempeñan, hay que probar el DRP, revisarlo continuamente y hacer que sea fácil de actualizar o ampliar. De esta manera nos aseguraremos de que protegemos lo esencial ante cualquier desastre imprevisto, con la mayor eficiencia.
Bueno, ya hemos llegado al final de este artículo. Esperemos que te haya ayudado a entender un poco más sobre estos temas tan importantes para las empresas. Si te interesa seguir aprendiendo sobre ciberseguridad y el plan de contingencia, te invitamos a seguir con este curso:
Curso online de ciberseguridad y plan de contingencia
Protégete y Evita pérdidas económicas y de tiempo por inactividad de su negocio
por Félix Carnero – Adiem Consultant
Asesor Digitalización para Empresas