Entrevista En La Tercera Sobre Disaster Recovery Plan
Autor: Hugo Galilea
Disaster Recovery: Una necesidad imperante para las organizaciones
Raimundo Flores S.
19 MAR 2024 03:38 PM
Tiempo de lectura: 5 minutos
La creciente amenaza de los ciberataques hace cada vez más evidente la importancia de que las compañías desarrollen planes para sobreponerse a distintas contingencias. Seguir las normas internacionales y capacitar al personal son parte de las claves para llevarlo a cabo.
El concepto de Disaster Recovery Plan (DRP) se utiliza para hablar del plan que genera una empresa para actuar ante una interrupción de sus sistemas, que puede haber sido provocada por contingencias naturales o humanas, con el fin de garantizar la continuidad operativa del negocio y la protección de sus activos.
Aunque los hechos que desencadenen este plan pueden ser de la más diversa índole, como un terremoto o una inundación, hoy en día la amenaza que representan los ciberataques ha hecho más común que las funciones de una empresa puedan ponerse en jaque, sobre todo si se considera la alta tasa de digitalización de las compañías.
Es recomendable que cualquier tipo de empresa, sea grande o pequeña, tenga su propio DRP, aunque este cambiará mucho dependiendo de las magnitudes de la firma, tanto en el volumen de sus empleados como en el ámbito en el que se desenvuelven.
“Una empresa pequeña, quizás lo único que necesita es que las personas que no tienen acceso a las instalaciones o a sus computadores tengan acceso a otro computador y poder tener toda su información en la nube para poder acceder a ello. Con eso una PyME puede seguir funcionando”, ejemplifica Hugo Galilea, director de Kepler, expertos en protección y recuperación de datos.
Las crecientes amenazas a la ciberseguridad hacen que sea necesario actualizar los DRP’s.
“Pero las que deberían tener extremado cuidado con la generación de estos planes son las empresas de infraestructura crítica, eléctricas, agua potable, el gobierno, todas aquellas que nos entregan a nosotros un bien o servicio que sin él es más difícil tener una buena calidad de vida”.
Amenazas y soluciones en evolución
La imparable velocidad con la que avanza la tecnología provoca que tanto los problemas como las soluciones a los que se puede exponer una empresa cambien al poco tiempo. Por lo mismo, el apartado del DRP también está en constante evolución.
Por ejemplo, si antes ciertas contingencias podían resolverse habilitando un nuevo espacio físico como una oficina, hoy la opción del teletrabajo lo hace más fácil. O si antes cierta información sensible estaba almacenada en cajas fuertes, hoy puede estar en una nube especialmente diseñada para eso.
Este contexto cambiante hace que el primer paso para generar un DRP sea identificar los riesgos de una compañía e identificar el impacto que puedan tener esas amenazas.
“Así podemos tener una idea de cuánto debería costar el plan porque no podemos hacer un plan que sea más caro que el posible impacto que podríamos tener”, explica Galilea.
Luego de identificar esas variantes, se deben definir los objetivos y alcances del plan y formar un equipo de respuesta ante desastres. “Es súper importante tener personas designadas, que todo el mundo sepa quiénes son, para que frente un ataque puedan tomar los roles y responsabilidades que están definidos”, señala el director de Kepler.
Hugo Galilea, director de Kepler, dice que las capacitaciones a los empleados son clave para un buen funcionamiento de los DRP.
También es necesario tener inventarios actualizados de la documentación corporativa que permitan saber qué es lo que se tiene y dónde se tiene. En la misma línea, se debe desarrollar una estrategia de recuperación, que considere los sistemas de respaldo de la información en los casos que sea necesario.
De la misma manera, es importante definir cómo será la comunicación interna y externa en caso de una situación que ponga en riesgo la continuidad de las operaciones. “Es sumamente importante la parte de relacionamiento público con todos los stakeholders. O sea, ver cómo comunico una disrupción a todos los empleados, clientes y cualquier parte interesada para que, con total transparencia, estén todos informados y tranquilos”, dice Galilea.
Además, el DRP tiene que estar sometido constantemente a actualizaciones y pruebas, al igual que la continua capacitación y concientización a todos los empleados.
“Todos y cada uno tiene que saber qué hacer frente a un desastre, eso hace que la respuesta sea mucho más rápida. Si todos sabemos qué hacer frente a una amenaza nosotros vamos a poder tomar una acción mucho más concreta y efectiva. Si nadie sabe, va a seguir pasando y pasando hasta que se agrande el bollo, y al final el daño para la empresa va a ser mucho mayor”, opina Galilea.
Chile aún en deuda
César Pallavicini, líder de la mesa plataforma estratégica CISOs de la Alianza Chilena de Ciberseguridad, opina que en Chile aún falta por generar conciencia de la importancia de los DRP’s.
“Todavía existen empresas que tienen servicios importantes, que dan servicio a la banca por ejemplo, que son tienen 10 a 15 personas y una dependencia muy fuerte del área de T.I. (Tecnologías de la Información). Entonces, a veces hay un tipo o dos que tienen el conocimiento, pero al no tener un plan documentado, dependen de esa persona. ¿Pero qué pasa si ella se va del país o se enferma?”, se cuestiona.
César Pallavicini considera que el número de empresas certificadas internacionalmente en Chile es muy bajo.
Además, Pallavicini destaca que en términos de DRP las empresas no deberían “tratar de inventar la rueda”. “Si uno quiere hacer algo bajo las mejores prácticas, se adhiere a las normas internacionales”, señala.
En ese sentido, los DRP’s son parte importante de lo que se conoce por Planes de Continuidad de Negocio, los cuales pueden ser certificados internacionalmente. Según Pallavicini, en Chile queda mucho camino por recorrer, ya que son menos de cien las empresas en el país que cuentan, por ejemplo, con la certificación de sus procesos críticos en la norma ISO 22301.
“No podemos tener un estado de madurez semejante a un país desarrollado o creernos los jaguares de Latinoamérica si en realidad estamos bastante en pañales”, opina Pallavicini, quien cree que una buena medida para acelerar las certificaciones es que las empresas que reciben servicios de otras compañías lo exijan.
Fuente: LaTercera DRP
Para ver nuestros servicios de Ciberseguridad: Servicios y Productos