Los términos continuidad empresarial (BC) y recuperación ante desastres (DR), que suelen utilizarse juntos, son muy diferentes. BC se refiere a la capacidad de una empresa de continuar con las funciones y procesos empresariales críticos después de que se produzca un desastre, mientras que DR se refiere específicamente a las funciones de TI de la empresa, aunque sea un subconjunto de BC. [1] [2]
Métrica
El objetivo principal es proteger a la organización en caso de que todas o parte de sus operaciones y/o servicios informáticos queden parcial o totalmente inutilizables .
Métricas de DR
La minimización del tiempo de inactividad y la pérdida de datos durante la recuperación ante desastres generalmente se mide en términos de dos conceptos clave:
Los procedimientos establecidos en el plan BCP y DR son en realidad consistentes con la práctica real.
un individuo específico dentro de la organización, que puede denominarse oficial de recuperación ante desastres, enlace de recuperación ante desastres, coordinador de recuperación ante desastres o algún otro título similar, tiene las habilidades técnicas, la capacitación, la experiencia y las capacidades para analizar las capacidades de los miembros del equipo para completar las tareas asignadas
Durante el ejercicio de recuperación ante desastres, más de una persona está capacitada y es capaz de realizar una función específica. Las pruebas y las indagaciones realizadas al personal pueden ayudar a lograr este objetivo.
Documentación
Plan de recuperación ante desastres
Un plan de recuperación ante desastres ( DRP ) es un proceso documentado o un conjunto de procedimientos para ejecutar los procesos de recuperación ante desastres de una organización y recuperar y proteger una infraestructura de TI empresarial en caso de un desastre . [3] Es "una declaración integral de acciones consistentes que se deben tomar antes, durante y después de un desastre". [4] El desastre puede ser natural , ambiental o provocado por el hombre . Los desastres provocados por el hombre pueden ser intencionales (por ejemplo, un acto terrorista) o no intencionales (es decir, accidentales, como la rotura de una presa artificial o incluso "dedos gordos" -o comandos erróneos ingresados- en un sistema informático).
Tipos de planes
Aunque no existe un plan único para todos, [5] existen tres estrategias básicas: [3] [5]
Prevención, incluyendo copias de seguridad adecuadas, protectores de sobretensión y generadores
detección, un subproducto de las inspecciones de rutina, que puede descubrir nuevas amenazas (potenciales)
Corrección [6]
Esto último puede incluir la obtención de pólizas de seguro adecuadas y la celebración de una sesión de intercambio de ideas sobre las lecciones aprendidas. [3] [7]
Mejores prácticas
Para maximizar su eficacia, los DRP son más eficaces cuando se actualizan con frecuencia y deben:
ser probados a fondo, no sólo documentación burocrática sin práctica
La organización debe conservar registros adecuados. El auditor examina los registros , las facturas y los contratos para verificar que se mantengan. Uno de esos registros es una lista actualizada de los proveedores de hardware y software de la organización . Dicha lista se elabora y actualiza periódicamente para reflejar las prácticas comerciales cambiantes y como parte de un sistema de gestión de activos de TI . Se almacenan copias de la misma dentro y fuera de las instalaciones y se ponen a disposición o son accesibles para quienes las necesitan. Un auditor prueba los procedimientos utilizados para cumplir este objetivo y determina su eficacia.
Relación con los BCP
La recuperación ante desastres es un subconjunto de la continuidad empresarial. Mientras que la DRP abarca las políticas, herramientas y procedimientos para permitir la recuperación de datos después de un evento catastrófico, la BCP implica mantener todos los aspectos de una empresa en funcionamiento independientemente de posibles eventos disruptivos. Como tal, un plan de continuidad empresarial es una estrategia organizacional integral que incluye la DRP, así como la prevención de amenazas, la detección, la recuperación y la reanudación de las operaciones en caso de que se produzca una violación de datos u otro evento de desastre. Por lo tanto, la BCP consta de cinco planes de componentes: [8]
Los tres primeros componentes (plan de reanudación de las actividades, de emergencia para los ocupantes y de continuidad de las operaciones) no abordan la infraestructura de TI. El plan de gestión de incidentes (IMP) sí aborda la infraestructura de TI, pero dado que establece la estructura y los procedimientos para abordar los ataques cibernéticos contra los sistemas de TI de una organización, generalmente no representa un agente para activar el DRP; por lo tanto, el DRP es el único componente del BCP de interés activo para TI. [8]
Pruebas
La categorización general de las pruebas se basa en funciones y discusiones. Los tipos de pruebas incluyen: ejercicios de mesa, [9] listas de verificación, simulaciones, procesamiento paralelo (prueba del sitio de recuperación mientras el sitio principal está en funcionamiento) y pruebas de interrupción total (conmutación por error). [10] [11] Estas se aplican tanto a BC como a DR.
Beneficios
Como ocurre con cualquier plan de seguros, existen beneficios que se pueden obtener de una adecuada planificación de la continuidad del negocio, entre ellos: [4] Los estudios han demostrado una correlación entre un mayor gasto en honorarios de auditoría y menores tasas de incidentes . [12]
Minimizar el riesgo de retrasos
Garantizar la fiabilidad de los sistemas de reserva (incluso automatizando la detección y recuperación de fallos en determinados escenarios)
Proporcionar un estándar para probar el plan
Minimizar la toma de decisiones durante un desastre
Reducción de posibles responsabilidades legales
Reducir el estrés innecesario en el entorno de trabajo
Metodología de planificación y pruebas
Según Geoffrey H. Wold del Disaster Recovery Journal, todo el proceso involucrado en el desarrollo de un Plan de Recuperación ante Desastres consta de 10 pasos: [4]
Realización de una evaluación de riesgos : el comité de planificación prepara un análisis de riesgos y un análisis de impacto empresarial (BIA) que incluye una variedad de posibles desastres. Se analiza cada área funcional de la organización para determinar las posibles consecuencias. Tradicionalmente, el fuego ha representado la mayor amenaza. Un plan minucioso prevé situaciones de "peor caso", como la destrucción del edificio principal.
Establecimiento de prioridades para el procesamiento y las operaciones : Se evalúan y priorizan las necesidades críticas de cada departamento. Se preparan acuerdos escritos para las alternativas seleccionadas, con detalles que especifican la duración, las condiciones de terminación, las pruebas del sistema , el costo , los procedimientos especiales de seguridad, el procedimiento para la notificación de cambios en el sistema, las horas de operación, el hardware específico y otros equipos necesarios para el procesamiento, los requisitos de personal, la definición de las circunstancias que constituyen una emergencia , el proceso para negociar extensiones de servicio, la garantía de compatibilidad , la disponibilidad , los requisitos de recursos que no sean mainframe, las prioridades y otras cuestiones contractuales.
Recopilación de datos : esto incluye varias listas (lista de puestos de reserva de empleados, lista de números de teléfono críticos, lista maestra de llamadas, lista maestra de proveedores, lista de verificación de notificaciones), inventarios (equipo de comunicaciones, documentación, equipo de oficina, formularios, pólizas de seguro , hardware informático de grupos de trabajo y centros de datos, hardware y software de microcomputadoras , suministros de oficina , equipo de ubicación de almacenamiento externo, teléfonos, etc.), registro de distribución, cronogramas de retención/copia de seguridad de software y archivos de datos, especificaciones de ubicación temporal, cualquier otra lista, material, inventario y documentación de este tipo. A menudo se utilizan formularios preformateados para facilitar el proceso de recopilación de datos.
Organizar y documentar un plan escrito
Desarrollo de criterios y procedimientos de prueba : las razones para realizar pruebas incluyen
Determinar la viabilidad y compatibilidad de las instalaciones y procedimientos de respaldo.
Identificar áreas del plan que necesitan modificaciones.
Proporcionar capacitación a los jefes de equipo y a los miembros del equipo.
Demostrar la capacidad de la organización para recuperarse.
Proporcionar motivación para mantener y actualizar el plan de recuperación ante desastres.
Prueba del plan : se realiza un " ensayo " inicial del plan mediante una prueba de recorrido estructurada. Se debe realizar una prueba de funcionamiento real. Se corrigen los problemas.
Las pruebas iniciales se pueden planificar y se realizan en secciones y después del horario laboral habitual para minimizar las interrupciones. Las pruebas posteriores se realizan durante el horario laboral habitual.
Advertencias/controversias
Debido a su alto costo, varios planes no están exentos de críticas. Dell ha identificado cinco "errores comunes" que las organizaciones suelen cometer en relación con la planificación de BCP/DR: [13]
Falta de aceptación : cuando la dirección ejecutiva considera que la planificación de recuperación ante desastres es "otro simulacro de terremoto falso" o los directores ejecutivos no hacen de la planificación y preparación de recuperación ante desastres una prioridad.
RTO y RPO incompletos : no se incluyen todos y cada uno de los procesos comerciales importantes o un bloque de datos. Las repercusiones pueden extender el impacto de un desastre. Es posible que la nómina no sea inicialmente una misión crítica, pero si se deja sin resolver durante varios días, puede volverse más importante que cualquiera de sus problemas iniciales.
Miopía de los sistemas : un tercer punto de falla implica centrarse únicamente en la recuperación ante desastres sin tener en cuenta las necesidades de continuidad empresarial más amplias. La pérdida de espacio de oficina corporativa debido a un desastre puede generar un grupo instantáneo de teletrabajadores que, a su vez, pueden sobrecargar la VPN de una empresa de la noche a la mañana, sobrecargar al personal de soporte de TI en un abrir y cerrar de ojos y causar serios cuellos de botella y monopolios con el sistema PBX de acceso telefónico.
Seguridad laxa : cuando ocurre un desastre, los datos y los procesos comerciales de una organización se vuelven vulnerables. Por lo tanto, la seguridad puede ser más importante que la velocidad bruta involucrada en el RTO de un plan de recuperación ante desastres. La consideración más crítica entonces es proteger las nuevas redes de datos: desde las nuevas VPN hasta la conexión desde los servicios de respaldo externos.
En caso de desastre, planificación forense post mortem
Bloqueo o borrado remoto de dispositivos portátiles perdidos
Decisiones y estrategias
Designación del sitio : elección de un sitio de respaldo . Un sitio caliente está completamente equipado para reanudar las operaciones, mientras que un sitio frío no tiene esa capacidad. Un sitio templado tiene la capacidad de reanudar algunas operaciones, pero no todas.
Pruebas y ensayos ocasionales verifican la viabilidad y eficacia del plan. Un auditor examina la probabilidad de que las operaciones de la organización puedan mantenerse al nivel que se supone en el plan y la capacidad de la entidad para establecer efectivamente operaciones en el sitio.
El auditor puede comprobarlo mediante documentación en papel y sin papel y mediante la observación física real. También se confirma la seguridad del lugar de almacenamiento.
Copia de seguridad de datos : una auditoría de los procesos de copia de seguridad determina si (a) son eficaces y (b) si el personal involucrado los está implementando realmente. [14] [15] El plan de recuperación ante desastres también incluye información sobre la mejor manera de recuperar los datos que no se hayan copiado. Se implementan controles y protecciones para garantizar que los datos no se dañen, alteren o destruyan durante este proceso.
Simulacros : Se realizan simulacros de práctica periódicamente para determinar la eficacia del plan y determinar qué cambios pueden ser necesarios. La principal preocupación del auditor en este caso es verificar que estos simulacros se estén realizando correctamente y que se aborden los problemas detectados durante ellos.
El auditor determina la idoneidad de la cobertura de seguros de la empresa (en particular, el seguro de daños materiales y accidentes ) mediante una revisión de las pólizas de seguros de la empresa y otras investigaciones. Entre los elementos que el auditor necesita verificar se encuentran: el alcance de la póliza (incluidas las exclusiones establecidas), que el monto de la cobertura sea suficiente para cubrir las necesidades de la organización y que la póliza esté vigente. El auditor también comprueba, mediante una revisión de las calificaciones asignadas por agencias de calificación independientes, que la compañía o compañías de seguros que brindan la cobertura tengan la viabilidad financiera para cubrir las pérdidas en caso de un desastre.
Los planes de recuperación ante desastres eficaces tienen en cuenta el alcance de las responsabilidades de una empresa con otras entidades y su capacidad para cumplir con esos compromisos a pesar de un desastre importante. Una buena auditoría de recuperación ante desastres incluirá una revisión de los acuerdos de asociación y los contratos existentes para garantizar que se minimice la responsabilidad legal de la organización por falta de desempeño en caso de desastre o cualquier otra circunstancia inusual. También se describen los acuerdos relacionados con el establecimiento de apoyo y la asistencia para la recuperación de la entidad. Las técnicas utilizadas para evaluar esta área incluyen un examen de la razonabilidad del plan, una determinación de si el plan tiene en cuenta o no todos los factores y una verificación de la razonabilidad de los contratos y acuerdos mediante documentación e investigación externa.
Problemas de comunicación
El auditor debe verificar que la planificación garantice que tanto la gerencia como el equipo de recuperación cuenten con hardware de comunicación efectivo , información de contacto tanto para comunicación interna como para asuntos externos, como socios comerciales y clientes clave.
Las técnicas de auditoría incluyen
probar procedimientos, entrevistar a empleados, hacer comparaciones con los planes de otras empresas y con los estándares de la industria,
examinar los manuales de la empresa y otros procedimientos escritos.
observación directa de que los números de teléfono de emergencia están listados y son fácilmente accesibles en caso de desastre.
Procedimientos de emergencia
En cualquier buen plan de recuperación de desastres se incluyen procedimientos para mantener al personal durante un esfuerzo de recuperación de desastres las 24 horas del día. Los procedimientos para el almacenamiento de alimentos y agua, las capacidades de administrar RCP / primeros auxilios y para hacer frente a emergencias familiares están claramente escritos y probados. Esto generalmente lo puede lograr la empresa mediante buenos programas de capacitación y una definición clara de las responsabilidades laborales. Una revisión de la capacidad de preparación de un plan a menudo incluye tareas como consultas al personal, observación física directa y examen de los registros de capacitación y cualquier certificación.
Cuestiones medioambientales
El auditor debe revisar los procedimientos que tengan en cuenta la posibilidad de fallas de energía u otras situaciones que no sean de naturaleza informática.
^ Susan Snedaker (2013). Planificación de la continuidad empresarial y la recuperación ante desastres para profesionales de TI (2.ª edición). Burlington: Elsevier Science. ISBN 9780124114517.
^ "¿Cuál es la diferencia entre recuperación ante desastres y continuidad del negocio?". Cloudian . 2019-11-25.
^ abc Bill Abram (14 de junio de 2012). "5 consejos para crear un plan de recuperación ante desastres eficaz". Small Business Computing . Consultado el 9 de agosto de 2012 .
^ abc Wold, Geoffrey H. (1997). "Proceso de planificación de recuperación ante desastres". Disaster Recovery Journal . Adaptado del volumen 5, n.° 1. Disaster Recovery World. Archivado desde el original el 15 de agosto de 2012. Consultado el 8 de agosto de 2012 .
^ ab "Planificación de recuperación ante desastres: guía paso a paso". Universidad Estatal de Michigan. Archivado desde el original el 8 de marzo de 2014. Consultado el 9 de mayo de 2014 .
^ "Backup Disaster Recovery". Archivado de correo electrónico y copia de seguridad remota. 2010. Archivado desde el original el 22 de enero de 2013. Consultado el 9 de mayo de 2014 .
^ "Planes de recuperación ante desastres y continuidad empresarial". Stone Crossing Solutions. 2012. Archivado desde el original el 23 de agosto de 2012. Consultado el 9 de agosto de 2012 .
^ ab Chad Bahan. (junio de 2003). "El plan de recuperación ante desastres" . Consultado el 24 de agosto de 2012 .
^ "Guía de programas de prueba, capacitación y ejercicios para planes y capacidades de TI" (PDF) . NIST . pág. 21.
^ "¿Cuál es la diferencia entre un ejercicio de mesa, un simulacro, un ejercicio funcional y un ejercicio a gran escala?".
^ "Programa de evaluación y ejercicios de seguridad nacional (HSEEP)" (PDF) . Seguridad nacional. Enero de 2020.
^ Li, He; No, Won Gyun; Boritz, J. Efrim (24 de noviembre de 2021). "¿Están los auditores externos preocupados por la divulgación de riesgos cibernéticos?". Auditoría: una revista de práctica y teoría . doi :10.2139/ssrn.2880928. S2CID 168198159.
^ Cormac Foster; Dell Corporation (25 de octubre de 2010). "Cinco errores que pueden acabar con un plan de recuperación ante desastres". Archivado desde el original el 16 de enero de 2013. Consultado el 8 de agosto de 2012 .
^ Constance Gustke (7 de octubre de 2015). "El huracán Joaquín destaca la importancia de los planes para seguir operando". The New York Times .
^ Berman, Alan. : Cómo elaborar un plan de continuidad empresarial eficaz. Business Insurance Magazine , 9 de marzo de 2015. http://www.businessinsurance.com/article/20150309/ISSUE0401/303159991/constructing-a-successful-business-continuity-plan
Messier, WF Jr. (2011). Servicios de auditoría y aseguramiento: un enfoque sistemático (8.ª ed.). Nueva York: McGraw-Hill/Irwin. ISBN 9780077520151.
Gallegos, F.; Senft, S.; Davis, AL (2012). Control y auditoría de tecnologías de la información (4.ª ed.). Boca Raton, FL: Auerbach Publications. ISBN 9781439893203.