El enfoque proactivo de seguridad de la información en las empresas busca evitar o reducir las consecuencias de los riesgos existentes en su entorno. En esta categoría se incluyen elementos como el análisis de riesgos o el plan de respuesta a incidentes, pero hay otra opción a considerar: el Plan de Recuperación ante Desastres (DRP por sus siglas en inglés) y su relación con otros planes como el Plan de Continuidad del Negocio (BCP). Veamos de qué se trata.
Diferencias entre el DRP y BCP
En ocasiones, suelen utilizarse de manera indistinta los términos BCP y DRP cuando se hace referencia a planes encaminados a restablecer las operaciones primordiales de una organización en caso de alguna contingencia. Sin embargo, existen diferencias sustanciales entre un plan y otro, y la principal característica que permite identificarlos es su alcance.
Ambos son componentes utilizados para contribuir a que los sistemas esenciales para el funcionamiento de la organización, estén disponibles cuando sean necesarios, con la característica de que el DRP se limita a los procesos e infraestructura de TI de la organización y está considerado dentro del BCP.
Por su parte, la continuidad del negocio está encaminada a describir los pasos a seguir por una organización cuando no puede funcionar de manera normal debido a un desastre natural o uno causado por el hombre. El BCP puede ser escrito para un proceso de negocio específico o para todos aquellos de misión crítica, y se compone de un conjunto de planes, incluido el DRP.
Otros que lo conforman, como el de reanudación del negocio (BRP), emergencia de ocupantes (OEP) y continuidad de operaciones (COP) no están relacionados con la infraestructura y procesos de TI.
El Plan de Gestión de Incidentes (IMP) que también está incluido en el BCP, está relacionado con TI y establece la estructura y los procedimientos para hacer frente a algún incidente de seguridad de la información, aunque generalmente no involucra la activación del DRP. La siguiente imagen muestra los planes considerados en el BCP.
Entonces, la recuperación ante desastres se enfoca en el restablecimiento de los sistemas e infraestructura de TI que soportan los procesos de negocio críticos después de eventos de interrupción, mientras que la continuidad del negocio está orientada a la recuperación de los procesos de negocio críticos que son necesarios para la operación, por lo que no solo incluye lo anterior, sino también todos los demás aspectos operativos necesarios dentro de la organización.
Desarrollo y activación del DRP
Existen diferentes maneras de abordar el desarrollo de un plan de recuperación, pero éste siempre debe estar alineado con el plan de continuidad, por lo que debe considerar los elementos que definen la razón de ser de una organización.
Además, el DRP debe incluir los criterios para determinar cuándo un incidente de seguridad no se puede resolver mediante los procedimientos comunes de atención y se considera como un desastre, es decir, cuando se presenta un evento catastrófico y repentino que nulifica la capacidad de las organizaciones para llevar a cabo los procesos esenciales.
Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida total de una instalación o la incapacidad de los empleados para acceder a las instalaciones, generado por algún tipo de desastre natural, una contingencia sanitaria o una huelga, por ejemplo.
Una propuesta para el desarrollo y aplicación del DRP se considera en los siguientes 6 puntos:
1. Desarrollar una política de continuidad del negocio
Todas las actividades deben estar alineadas con los objetivos de continuidad del negocio, por lo que un punto de partida puede ser el desarrollo de una política encargada de establecer el marco de operación de los planes, así como la clasificación de los sistemas o aplicaciones para identificar aquellos que sean considerados como críticos.
2. Realizar una evaluación de riesgos
Llevar a cabo una evaluación de riesgos permite identificar, analizar y evaluar las amenazas que podrían afectar a la organización, especialmente aquellos que puedan provocar un evento que se incluya en la categoría de desastre.
3. Realizar un análisis de impacto al negocio (BIA)
En este paso se definen principalmente los objetivos de recuperación para los sistemas que soportan los procesos de negocio. Se define el Tiempo Objetivo de Recuperación (RTO por sus siglas en inglés), que es el período permitido para la recuperación de una función o recurso de negocio a un nivel aceptable luego de un desastre, y el Punto Objetivo de Recuperación (RPO) que describe la antigüedad máxima de los datos para su restauración, con base en los requisitos del negocio.
4. Desarrollar estrategias de recuperación y continuidad del negocio
En este paso se busca dejar en claro todas las medidas a poner en práctica para regresar a la operación tan pronto como sea posible, con base en una priorización derivada de la clasificación del primer punto.
5. Concientizar, capacitar y probar los planes
Un elemento necesario con relación a los planes consiste en realizar su difusión entre los miembros de la organización, especialmente entre aquellos que serán los encargados de ponerlo en ejecución en caso de ser requerido. Además, es necesario que se lleven a cabo pruebas del mismo, para ello, se puede hacer uso de diferentes opciones, desde una revisión de la lista de verificación (checklist) de la recuperación hasta una prueba de interrupción completa (full interruption test) donde las operaciones se interrumpen en el sitio primario y se transfieren a un sitio de recuperación.
6. Mantener y mejorar el plan de recuperación ante desastres
A partir de los resultados de la prueba de los planes se deben llevar los ajustes correspondientes para contar con documentación actualizada y apropiada a los intereses de la organización, una vez que han sido consideradas las situaciones de desastre que podrían afectarla, las actividades y recursos necesarias para restablecer las operaciones críticas.
De manera general, las organizaciones que desarrollan los planes de recuperación deberán considerar los recursos a su alcance, los servicios previamente identificados y que se desean recuperar tan pronto como sea posible, así como los tipos y severidad de las amenazas que enfrenta la organización y pueden llegar a convertirse en un problema de mayor magnitud para la misma.
Otro elemento necesario es la propensión al riesgo de la organización, ya que de ello también dependerán los esfuerzos y recursos destinados al desarrollo y aplicación del DRP.
La consideración de este plan ofrece la ventaja de responder de forma planeada ante una catástrofe y minimizar su impacto en contra de los objetivos y misión de la empresa de manera proactiva.
