por Víctor Ruiz, fundador de SILIKN

De acuerdo con un análisis de la unidad de investigación de SILIKN, se encontró que una empresa tarda hasta 210 días en identificar un ataque a su red y 280 días en contener la totalidad de la brecha.

El análisis también descubrió que, en 2019 y el primer semestre de 2020, los ciberdelincuentes extrajeron 170 millones de registros de datos confidenciales y 2.200 brechas fueron expuestas, afectando a diferentes sectores como el financiero, salud, empresarial, gobierno y educación.

En este sentido, a medida que más organizaciones enfrentan interrupciones, un enfoque definido para la recuperación es imperativo para que puedan regresar a sus operaciones con éxito.

El peor momento para saber que su plan de recuperación ante desastres está desactualizado es justo cuando ocurre un desastre. Según el análisis de la unidad de investigación de SILIKN, el 62% de las 600 organizaciones encuestadas — mexicanas y extranjeras con operaciones en el país — , activaron planes de recuperación ante desastres de tecnología, en los últimos dos años.

Hay varias razones por las que los planes de recuperación empresarial existentes no son eficaces. Muchos de estos planes están desactualizados, por ejemplo, y a menudo las organizaciones carecen del conocimiento de la situación que necesitan para responder adecuadamente a cualquier incidente de seguridad.

Otros problemas incluyen el desarrollo de un plan empresarial y la falta de entrenamiento y capacitación de toda la fuerza laboral, en temas de ciberseguridad y continuidad de las operaciones.

Por supuesto, no existe un plan de recuperación genérico. Cada plan tiene que ser específico para la empresa que lo utiliza y un plan sólido comienza con un programa sólido y una estructura de gobierno. Esto significa tomarse el tiempo para detallar cada fase de la gestión de la continuidad del negocio: desarrollo y gobierno del programa, requisitos de recuperación, mitigación de riesgos, desarrollo del plan de recuperación, ejercicios y capacitación del personal, así como mantenimiento y gestión del programa.

Uno de los desafíos es la falta de un fuerte apoyo para la gestión de la continuidad del negocio a nivel directivo. Es posible que los directores no crean que ocurrirá una crisis o se sientan demasiado confiados en su capacidad para manejarla.

La solución aquí es definir una estrategia que detalle la responsabilidad de cada directivo en toda la organización. La gestión de una crisis o emergencia, por ejemplo, puede recaer en el director ejecutivo, el presidente o el departamento legal; un desastre de TI sería competencia del CIO.

Otro desafío clave es no contar con un marco para el plan de recuperación, o tener un plan de recuperación que sea tan complicado o de alto nivel que sea casi inutilizable. Los tipos más comunes de planes de recuperación incluyen planes de continuidad del negocio, planes de prevención y gestión de crisis, planes de recuperación ante desastres de TI, planes de contingencia de terceros y planes de comunicaciones. Los más recientes incluyen planes para pandemias, planes de regreso al lugar de trabajo o planes de gestión de sucesión.

Los planes deben ser prácticos y fáciles de entender. Incluir quién, cuándo y cómo deben desarrollarse los procesos. Incluir secciones para detallar escenarios o peligros específicos que las personas podrían enfrentar en caso de que ocurriera un incidente específico.

Al escribir procedimientos, evite utilizar datos que puedan cambiar fácilmente. En lugar de referirse a las personas por su nombre, escriba su función. En el apéndice, enumere las personas que ocupan cada puesto como referencia.

Si bien cada plan de recuperación puede verse diferente, la tabla de contenido debe tener el mismo aspecto. Se debe incluir una sección de administración de documentos para detallar para qué es el plan, un historial de cambios y un glosario de términos. También debe incluir una guía de referencia que defina el alcance y el propósito de los planes y secciones sobre cómo usar el plan y la descripción general de la estrategia.

Cada plan debe tener roles y responsabilidades definidos, junto con una descripción general de los procedimientos. Las secciones fundamentales son:

  • cómo activar el plan
  • cómo responder al evento
  • cómo recuperarse
  • cómo restaurar y volver a la producción
  • cómo desactivar el plan.

Es útil tener secciones sobre cómo se mantendrá el plan y con qué frecuencia se ejecutará. Los apéndices pueden incluir información adicional como mapas y listas de verificación, mapeo de función a persona y listas de proveedores y fuentes confiables para contactar cuando ocurre un incidente.

Para más información, visite: https://www.silikn.com/