Continuidad de operaciones

Más allá del plan de recuperación ante desastres

En la era digital, la organizaciones quedan abocadas a una obligada digitalización de toda su actividad, tanto a nivel estratégico, como de gestión y operación. En este contexto, protegerse ante las ciberamenzas se convierte en un aspecto clave a la hora de garantizar la continuidad de sus operaciones, intrínsecamente ligadas a sus sistemas de información.

Continuidad de operaciones

Continuidad: aplicando medidas de disponibilidad

Cada vez se oyen más las palabras continuidad, recuperación ante desastres y ciber-resiliencia como las soluciones para recuperarse de un incidente disruptivo que afecte a los sistemas de información en los que se sustenta el negocio.

La continuidad puede verse como una derivada de la seguridad de la información, focalizándose esencialmente en la dimensión de la disponibilidad.

La aplicación de medidas de disponibilidad en las organizaciones no es que sea algo nuevo, ya se han venido tomando medidas (aunque sea a un nivel mínimo y de carácter puramente técnico), como la realización de copias de seguridad. Hace ya tiempo que España cuenta con legislación en materia de protección, obligando a la realización de copias de seguridad (al menos, de los datos personales), lo cual, de alguna forma, potenció la aplicación de ciertas medidas de mejora de la disponibilidad.

La irremediable evolución de las medidas de disponibilidad

Indudablemente, las citadas medidas de disponibilidad, aplicadas hasta el momento, empiezan a ser insuficientes en una realidad en la que los factores cambian a un ritmo trepidante desde varios frentes:

Continuidad de operaciones

La Continuidad pasa de la acción puntual a la estrategia global

Todo apunta a que las organizaciones deberían plantearse un nuevo enfoque de la continuidad de forma que, no solo consista en tener mecanismos de copias de seguridad, sino en disponer de una estrategia de respaldo y recuperación alineadas con el entorno actual (nuevas amenazas y requisitos legales) y las necesidades del negocio.

Continuidad de operaciones

Plan de Continuidad

En primera instancia, las organizaciones deben abordar la realización de un Análisis de Impacto en el Negocio (BIA) en el que se calculen los daños causados a la organización por la indisponibilidad de recursos ante un incidente disruptivo en función del tiempo y, en base a los resultados de este análisis, determinar los tiempos máximos de recuperación.
Según cuales sean estos tiempos de recuperación, se determinarán las diferentes estrategias de respaldo y recuperación y, por ende, el Plan de Continuidad, incluyendo el Plan de Recuperación ante Desastres(por sus siglas en inglés DRP: Disaster Recovery Plan). Es importante que los dueños de los procesos corporativos y la dirección se implique en este análisis, ya son ellos quienes tienen los criterios para mejor valorar las consecuencias por indisponibilidad de las operaciones.
Entre las metodologías de análisis de impacto en el negocio cabe destacar MAGERIT, que puede abordarse mediante la herramienta PILAR.
Este ejercicio es clave para optimizar la inversión en Continuidad, puesto que se recuperarán los recursos en la medida en que no sea más costoso recuperarlos que lo que se pierda por la indisponibilidad de los mismos. Al igual que las inversiones en seguridad deben abordarse conforme a riesgos, en el caso de la continuidad las inversiones de respaldo y recuperación debe realizarse conforme a impactos por indisponibilidad.

Continuidad de operaciones

Gestión de la Continuidad

Contar con mecanismos de Continuidad no es suficiente, es necesario un mantenimiento y mejora continuos si no queremos que estos mecanismos dejen de ser efectivos con el tiempo.
Y para gestionar la continuidad es preciso un marco de gestión que contemple todo el ciclo de vida (planificación, implementación de planes, pruebas, mejoras) y todo ello sin dejar de lado la formación y concienciación de los implicados, así como la participación activa y soporte de la dirección.
La gestión puede basarse en el estándar internacional ISO 22301, que contempla el mencionado ciclo (ciclo PDCA: Plan, Do, Check, Act) y, además, su cumplimiento es certificable por una entidad acreditada.

La respuesta tecnológica a la Continuidad

El mercado tecnológico, consciente de las crecientes necesidades de ciber-resiliencia, también ofrece soluciones de continuidad mucho más avanzadas y sofisticadas que las que había hace algunos años. Desde la realización de copias de seguridad en modalidad cloud a la contratación online de plataformas de respaldo en tiempos récord.

Claves de la Continuidad

  • Estrategia de respaldo y recuperación

    Estrategia de respaldo y recuperación

    Basada en un análisis de impacto en el negocio en el que se implique la dirección.

  • Cumplimiento estándares

    Cumplimiento estándares

    Una adecuada consideración de los requisitos normativos o estándares relacionados con la Continuidad.

  • Estrategia de gestión

    Estrategia de gestión

    Un adecuado marco de gestión que abarque todo el ciclo de vida (Plan, do, Check, Act).

Con ello garantizaremos la minimización del impacto que un incidente disruptivo pueda causar en la continuidad de nuestras operaciones, a la vez que optimizaremos los costes asociados a los mecanismos empleados para implementar dicha continuidad.

Servicios relacionados

  • Seguridad estratégica. Gobierno, riesgo y cumplimiento

    Seguridad estratégica. Gobierno, riesgo y cumplimiento

    Consultoría TI que abarca desde Sistema de Gestión de Seguridad de la Información (SGSI) – ISO 27001, Esquema Nacional de Seguridad (ENS), Regulación de Protección de Datos: RGPD y LOPD-GDD, PCI-DSS y PSD2, Ley PIC y Ley NIS, Análisis de Riesgos y Plan Director de Seguridad, BIA, Gestión de Continuidad (ISO 22301) y DRP, Virtual CISO, Virtual DPO y PMO de Ciberseguridad, Formación y sensibilización

    Más sobre este servicio

Productos relacionados

Insights relacionados