En la era digital en la que hoy en día nos desenvolvemos los ataques cibernéticos son cada vez más frecuentes. A medida que la tecnología avanza, la creatividad de los ciber delincuentes para vulnerar la información también avanza, lo que representa un riesgo para toda empresa que no se encuentre debidamente protegida.

Un Plan de Recuperación de Desastres (DRP) es una guía bien documentada de procedimientos, herramientas y políticas, que debe centrarse en la Continuidad del Negocio (BC) al momento de presentarse un incidente natural o provocado, con el fin de recuperar y restaurar la información perdida para continuar las operaciones tecnológicas de la empresa.

Un DRP bien diseñado es vital para la salud de una organización. Aquí enlistamos algunas de las razones:

  • Garantiza que una empresa continúe en funcionamiento después de haber sido afectado por algún desastre natural como terremotos, huracanes, u otros, protegiendo la información sobre los efectos posteriores a un evento de este tipo.
  • Perder información sensible puede ser catastrófico y además afecta la reputación de la empresa. Un DRP nos proporcionará un respaldo de seguridad para mantener protegidos nuestros datos y los datos de nuestros clientes. Toma en cuenta que, si los datos confidenciales de alguno de tus clientes se ven comprometidos, podría ocasionar que una pérdida de confianza en tu empresa y que estos emprendan acciones legales contra la misma.
  • Los ciberdelincuentes suelen centrar su atención en encontrar organizaciones que tienen sus datos desprotegidos para vulnerar su información. Un DPR ayuda a las empresas a reducir el impacto de un ciberataque, reteniendo datos valiosos al momento de un ciberataque.
Para realizar un Plan de Recuperación de Desastres de una manera exitosa, es importante evaluar los riesgos, tanto internos como externos, que pueden representar un motivo de preocupación para las diferentes áreas en nuestra empresa y así crear un programa en contra de posibles amenazas e implementar procesos a seguir en caso de que ocurra un tiempo de inactividad.

Estos son algunos puntos que te recomendamos considerar para crear un DRP adecuado para tu empresa:

  • Establece objetivos claros de recuperación para reducir el tiempo de inactividad y el costo de la pérdida de información. Para esto, es importante tomar en cuenta el RTO (Tiempo Objetivo de Recuperación) y el RPO (Punto Objetivo de Recuperación). Estas son dos métricas clave que las organizaciones deben de considerar para mantener la Continuidad del Negocio (BC), después de un evento inesperado.
  • Debe haber una clara identificación del personal internos y externos que deberán participar en el DRP. Debemos documentar la información de cuándo y cómo contactar a cada uno de los miembros involucrados en el plan de recuperación y cubrir a detalle los pasos a seguir y responsabilidades designadas a cada uno de los implicados. Esto ayudará a facilitar el flujo que se debe seguir para lograr con éxito la recuperación de la operación.
  • Es importante definir el presupuesto que se invertirá en los recursos necesarios para poder llevar a cabo el Plan de Contingencia. De ser el caso, aquí se incluyen también los servicios que se deban contratar a un proveedor externo.
  • Preparar una documentación detallada sobre la infraestructura de red, con la pauta que describa paso a paso las configuraciones, será de gran ayuda para la ejecución y proceso de recuperación adecuada de todo el sistema. Esto aumentará las probabilidades de reconstruir exitosamente la infraestructura de red que haya sido corrompida.
  • Es recomendable que mantengas toda la documentación fuera de línea y en una nube privada. Recuerda que es importante que el personal involucrado pueda acceder a ellos fácilmente a la hora que se presente la falla.

Estos son algunos puntos que te recomendamos considerar para crear un DRP adecuado para tu empresa:

  • Establece objetivos claros de recuperación para reducir el tiempo de inactividad y el costo de la pérdida de información. Para esto, es importante tomar en cuenta el RTO (Tiempo Objetivo de Recuperación) y el RPO (Punto Objetivo de Recuperación). Estas son dos métricas clave que las organizaciones deben de considerar para mantener la Continuidad del Negocio (BC), después de un evento inesperado.
  • Debe haber una clara identificación del personal internos y externos que deberán participar en el DRP. Debemos documentar la información de cuándo y cómo contactar a cada uno de los miembros involucrados en el plan de recuperación y cubrir a detalle los pasos a seguir y responsabilidades designadas a cada uno de los implicados. Esto ayudará a facilitar el flujo que se debe seguir para lograr con éxito la recuperación de la operación.
  • Es importante definir el presupuesto que se invertirá en los recursos necesarios para poder llevar a cabo el Plan de Contingencia. De ser el caso, aquí se incluyen también los servicios que se deban contratar a un proveedor externo.
  • Preparar una documentación detallada sobre la infraestructura de red, con la pauta que describa paso a paso las configuraciones, será de gran ayuda para la ejecución y proceso de recuperación adecuada de todo el sistema. Esto aumentará las probabilidades de reconstruir exitosamente la infraestructura de red que haya sido corrompida.
  • Es recomendable que mantengas toda la documentación fuera de línea y en una nube privada. Recuerda que es importante que el personal involucrado pueda acceder a ellos fácilmente a la hora que se presente la falla.
Existen diferentes tipos de soluciones para la recuperación de datos, como recuperación de disco duro, la recuperación de RAID, la recuperación de cinta, la recuperación óptica, la recuperación desmontable y la recuperación digital, es esencial seleccionar el más adecuado para la empresa. Hoy en día, muchas organizaciones están migrando los DRP de su infraestructura de TI hacia la nube, puesto que esto además de reducir costos, permite el rápido levantamiento de la operación tecnológica y disponibilidad de información.

Si cuentas con un HSM dentro de tu organización, te recomendamos considerar la implementación de una solución igual dentro de tu esquema DRP, ya que, en caso de un desastre, no tendrás acceso al HSM original que resguarda las llaves con tu información; estos HSMs además de estar en distintos lugares geográficos, deberán ser capaces de replicarse.
Dependiendo del uso que le des al HSM en tu negocio, será la periodicidad con la que deberás replicar la información hacia el DRP. Si creas llaves todos los días, es recomendable hacer la replica diariamente; si la creación de llaves es mensual, entonces lo recomendable será replicar la información mensualmente.

En CEGA Security ofrecemos diferentes servicios y soluciones, tanto en la nube como en premisa, adaptables a las necesidades de tu empresa. Contáctanos si estás interesado en conocer las diferentes maneras en la que puedes proteger tu información sensible ante un posible desastre.