Planificación de la continuidad del negocio y la recuperación ante desastres: conceptos básicos

0
17
Custom Text

Si alguien todavía piensa que tener un plan de continuidad del negocio y recuperación ante desastres no es de alta prioridad, no ha prestado atención a los eventos recientes. A medida que comenzamos a salir de la pandemia de la COVID-19, las organizaciones están cambiando a una nueva normalidad que sin duda será más remota, más digital y más basada en la nube. Los planes de recuperación ante desastres deberán evolucionar para mantenerse al día con estas cambiantes condiciones del negocio.

Además, los requerimientos del negocio para la recuperación ante desastres han cambiado drásticamente. Hubo un momento en que era aceptable medir el tiempo de recuperación en días u horas. Ahora son minutos. En algunos casos, las unidades de negocio exigen tiempo de inactividad cero en caso de una interrupción no planificada.

A continuación, los elementos básicos del estado del arte de un plan de recuperación ante desastres/continuidad del negocio (DR/BC, por sus siglas en inglés) para el 2021 y más allá. (Sin obsesionarse demasiado con las definiciones, digamos que la recuperación ante desastres es hacer que la infraestructura de TI vuelva a estar en funcionamiento, mientras que la continuidad del negocio es una disciplina más amplia que hace que el negocio vuelva a funcionar una vez que se encienden las luces).

Integre la ciberseguridad, la detección/respuesta ante intrusiones y la recuperación ante desastres en el plan integral de protección de datos
Para los CISO, el primer objetivo de un plan de recuperación ante desastres es evitar el desastre en primer lugar, lo que se está volviendo cada vez más desafiante. En primer lugar, los datos ya no se guardan de forma segura en un centro de datos on premises. Se distribuyen en ambientes de correo on premises, nubes a hiperescala, el borde y las aplicaciones SaaS. El analista senior de ESG Research, Christophe Bertrand, señala que los SaaS representan un serio desafío de protección y recuperación de datos porque «ahora tienen aplicaciones de misión crítica que se ejecutan como un servicio sobre el que no tiene control”.

En segundo lugar, la pandemia expulsó a millones de empleados de los confines seguros de sus oficinas corporativas hacia oficinas en casa, donde la Wi-Fi es menos segura, y donde los empleados pueden estar compartiendo datos confidenciales en aplicaciones de colaboración.

En tercer lugar, los hackers se dieron cuenta de la expansión de estos vectores de ataque y lanzaron un aluvión de ataques de ransomware nuevos y más específicos. Según el reporte State of Ransomware 2020 de Sophos, los hackers han pasado de los ataques spray and pray para escritorio a los ataques a servidores. «Se trata de ataques sofisticados y muy dirigidos cuya implementación requiere más esfuerzo. Sin embargo, suelen ser mucho más letales debido al mayor valor de los activos cifrados y pueden paralizar a las organizaciones con solicitudes de rescate multimillonarias”, según el informe.

En respuesta a los cambios en las condiciones, los CISO deben centrarse en reforzar la seguridad de los terminales para los trabajadores remotos, implementar VPNs y cifrado, proteger los datos en reposo, sin importar dónde residan, y también asegurarse de que las herramientas de colaboración no se conviertan en una fuente de vulnerabilidades para la seguridad.

Realice un análisis de impacto al negocio
Las organizaciones deben realizar un exhaustivo análisis de impacto al negocio (BIA, por sus siglas en inglés) para evaluar e identificar los probables efectos de los desastres a través de las perspectivas de las consecuencias financieras, el cumplimiento normativo, la responsabilidad legal y la seguridad de sus empleados. Gartner estima que el 70% de las organizaciones toman decisiones sobre su recuperación ante desastres con datos que no se encuentran alineados con el negocio, o basándose en un BIA obsoleto. «Sin la base de hechos que proporciona un BIA, los equipos solo pueden adivinar el nivel apropiado de DR y qué riesgos son tolerables. Esto da como resultado un gasto excesivo o insatisfacción en las expectativas”, según Gartner.

Recuerde, no necesita proteger todo. Las organizaciones que realizan estos ejercicios a menudo se sorprenden al descubrir servidores que no hacen nada más que ejecutar un proceso rutinario de negocio en el back end una vez al mes o incluso una vez al año.

Las organizaciones deben priorizar las aplicaciones por su importancia para el negocio, e identificar todas las dependencias asociadas con un proceso de negocio, en particular las aplicaciones que pueden haber sido virtualizadas en múltiples servidores físicos, pueden estar ejecutándose en contenedores en la nube o en ambientes de nube sin servidor.

Clasifique los datos
Del mismo modo, no necesita proteger todos los datos, solo los datos que necesita para mantener el negocio en funcionamiento. Necesita pasar por el proceso de localizar, identificar y clasificar datos. Asegúrese de proteger los datos que se encuentran dentro de los requerimientos regulatorios, datos de clientes, datos de pacientes, datos de tarjetas de crédito, propiedad intelectual, comunicaciones privadas, etcétera. La buena noticia es que las herramientas pueden automatizar la identificación y clasificación de los datos.

Tome en cuenta la recuperación ante desastres como servicio (DRaaS)
En las organizaciones medianas y pequeñas, la DRaaS es una opción cada vez más popular para los CISO que desean mejorar de manera rentable la resiliencia de TI, cumplir con los requerimientos de cumplimiento o reglamentarios, y abordar las deficiencias de los recursos. Se espera que el mercado DRaaS crezca a una tasa de 12% anual durante los próximos cinco años, según Mordor Intelligence. Los servicios DRaaS cubren toda la gama de recuperación ante desastres y continuidad del negocio, proporcionando flexibilidad y agilidad a las empresas, según el informe de Mordor.

Gartner agrega que, en comparación con hace unos años, a medida que el mercado de DRaaS ha madurado y las ofertas de los proveedores se han industrializado más, el tamaño y el alcance de las implementaciones de DRaaS han aumentado significativamente.

Desarrolle un plan de comunicación sólido
El simple hecho de que los servidores vuelvan a funcionar no tiene sentido a menos de que todos conozcan sus funciones y responsabilidades. ¿Tienen las personas los números de teléfono celular y las direcciones de correo electrónico adecuadas para compartir información? ¿Tienen las partes interesadas relevantes un manual que explique cómo responder a una crisis en términos de contactar a las fuerzas del orden, equipos legales externos, empresas de servicios públicos, tecnología clave y socios de la cadena de abastecimiento, liderazgo senior, la base de empleados, equipos externos de relaciones públicas, etcétera?

Dependiendo de la naturaleza del desastre, los grupos de redes pueden necesitar establecer nuevas líneas de conectividad para trabajadores remotos y reconfigurar los flujos del tráfico; es posible que los equipos de mantenimiento tengan que realizar una resolución remota de problemas, los equipos de seguridad pueden necesitar restablecer los firewalls, cambiar las políticas de acceso, extender la protección de seguridad a nuevos dispositivos o recursos en la nube. El mayor problema en caso de desastre no está relacionado con los backups de los datos, sino con no contar con las personas adecuadas y no comprender todos los pasos necesarios para que la empresa se recupere, afirma Bertrand.

Automatice las pruebas
Para probar cuán preparadas están ante un desastre, tradicionalmente las empresas realizan ejercicios de mesa en los que los actores clave se unen físicamente para representar escenarios de recuperación ante desastres. Sin embargo, solo un tercio de las organizaciones perciben los ejercicios como «muy efectivos”, según un estudio de Osterman Research en asociación con Immersive Labs, una empresa que desarrolla habilidades de preparación humana en ciberseguridad. La investigación también encontró que las organizaciones no realizan ejercicios tabletop, de asignación de roles en casos de emergencia, con la frecuencia necesaria para mantenerse al día con las amenazas en evolución, y que estos ejercicios cuestan un promedio de 30 mil dólares. Durante la pandemia, es justo suponer que los ejercicios de mesa se quedaron a un lado del camino.

Doug Matthews, vicepresidente de Protección de Datos Empresariales de Veritas, afirma que existe una mejor manera. Las nuevas herramientas pueden probar automáticamente los procedimientos de backup y recuperación de forma continua, e identificar probables problemas que deben abordarse. Las modernas soluciones de prueba también pueden utilizar la tecnología de sandboxing para crear ambientes seguros en los que las empresas pueden probar la capacidad de recuperación de las aplicaciones sin afectar las redes de producción.

Cree backups inmutables de datos
Los atacantes de ransomware tienen como objetivo los repositorios de backup, particularmente en la nube. También apuntan a aplicaciones SaaS. En respuesta, las organizaciones deben conservar una copia de los datos que no se pueda modificar. «Asegúrese de tener una copia inmutable de los datos de backup que nadie pueda tocar”, aconseja Matthews, quien afirma que las empresas deben tener tres copias de los datos en todo momento, no solo dos.

Las empresas también deben investigar ambientes de recuperación aislados, como los espacios aislados (air-gapping), en los que una copia de los datos vive en un ambiente no conectado al ambiente de producción.

Considere la reutilización de los datos
«Los negocios son los datos y los datos son los negocios”, afirma Bertrand. Una vez que las organizaciones tienen una copia de sus datos importantes en un ambiente de backup seguro, ¿por qué no pensar en formas de reutilizarlos para avanzar en los esfuerzos de transformación digital de la empresa?

La idea es que las organizaciones «comprendan lo que tienen, dónde está, cómo protegerlo, almacenarlo y optimizarlo”. En última instancia, Bertrand pronostica que las organizaciones desarrollarán una estrategia de datos inteligente que abarque el cumplimiento normativo, la recuperación ante desastres/continuidad del negocio y la analítica de datos.

Realice actualizaciones continuas
Los CISO que actualizan sus planes de DR/BC deben seguir el ejemplo de DevOps. No se trata de una y otra vez, se trata de una mejora continua. Los planificadores de DR deben estar conectados a cualquier cambio en la empresa que pueda afectar la capacidad de recuperación, incluidos los empleados que trabajan desde casa permanentemente, la apertura o el cierre de tiendas u oficinas remotas, la sustitución de aplicaciones por SaaS, la transferencia de datos al perímetro o la transferencia de DevOps a la nube. Además, la tecnología mejora constantemente, así que esté atento a nuevas herramientas que puedan ayudar a automatizar los procesos de DR/BC. El plan no debe quedarse en el estante acumulando polvo. Debe actualizarse periódicamente.

Haga una planificación a largo plazo
A la luz de todo lo que ha sucedido durante los últimos 12 meses, es un buen momento para cambiar el pensamiento sobre DR/BC de reactivo a proactivo. Desafortunadamente, entre las emergencias de salud pública, el cambio climático y el aumento de los ciberataques, los desastres parecen ocurrir con más frecuencia y ciertamente son más devastadores. Los planes de DR/BC deben adelantarse a las amenazas, no simplemente responder a ellas.

Un plan de DR/BC exitoso requiere que las empresas realicen lo básico, pero también es una oportunidad para que las empresas encuentren formas creativas e innovadoras de mantener el negocio en funcionamiento cuando ocurre un desastre.

Neal Weinberg CSOonline.com

Artículo anteriorKaspersky Endpoint Security Cloud ahora incluye EDR para pequeñas y medianas empresas
Artículo siguienteGartner advierte del riesgo de invertir en análisis en el momento equivocado