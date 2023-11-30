Un plan de recuperación ante desastres (DRP, por sus siglas en inglés) es un documento detallado que describe cómo una organización responderá eficazmente a un incidente imprevisto y reanudará las operaciones comerciales.
Los DRP ayudan a garantizar que las empresas estén preparadas para hacer frente a muchos tipos diferentes de desastres, incluidos cortes de energía, ataques de ransomware y malware, desastres naturales y mucho más.
Un DRP sólido ayuda de forma rápida y eficaz a restablecer la conectividad y reparar la pérdida de datos tras una catástrofe. Las empresas de todo el mundo gastarán 219 000 millones de dólares solo en 2023 en ciberseguridad, lo que supone un aumento del 12 % con respecto al año anterior, según un informe de International Data Corporation.
¿Qué es un plan de continuidad del negocio?
Al igual que un DRP, un plan de continuidad del negocio (BCP, por sus siglas en inglés) forma parte del proceso de recuperación ante desastres que ayuda a las empresas a restablecer sus operaciones normales tras la aparición de un desastre. Los BCP suelen analizar las amenazas y las opciones de resolución de forma más amplia que los DRP, y se centran en lo que la empresa necesitará para restablecer las funciones empresariales básicas tras un incidente.
¿Qué es un plan de respuesta a incidentes?
Los planes de respuesta a incidentes (IRP, por sus siglas en inglés) son un tipo de DRP que se centra exclusivamente en la ciberseguridad y las amenazas a los sistemas de información. Un IRP describe claramente la respuesta de emergencia de una organización desde el momento en que detecta una amenaza hasta su mitigación y resolución. Un IRP busca abordar el daño específico causado por un ciberataque y se centra exclusivamente en la preparación para las amenazas a la tecnología, la infraestructura de TI, las operaciones comerciales y la reputación.
Los DRP desempeñan un papel fundamental en el desarrollo de un plan de seguridad general que ayude a garantizar a las partes interesadas, clientes e inversores que una empresa opera de manera responsable. Las empresas que no toman las medidas necesarias para garantizar la preparación se enfrentan a diversos riesgos, como la costosa pérdida de datos, el tiempo de inactividad operativa, las sanciones financieras y el daño a la reputación.
Estos son algunos de los beneficios que pueden disfrutar las empresas que invierten en la creación de un DRP sólido:
Tiempos de inactividad más cortos
Muchas de las principales empresas actuales dependen en gran medida de la tecnología para sus operaciones habituales. Cuando un incidente no planificado altera el funcionamiento habitual de las actividades, puede costar millones. La naturaleza de alto perfil de los ciberataques y la duración frecuentemente analizada de sus tiempos de inactividad también pueden hacer que los clientes y los inversores pierdan la confianza. Los DRP sólidos y probados rigurosamente ayudan a las empresas a volver a funcionar con rapidez y sin problemas después de un incidente no planificado.
Reducción de los costes de recuperación
Recuperarse de un siniestro puede resultar caro. Según el reciente informe "Cost of a Data Breach" de IBM, el coste medio de una vulneración de datos en 2023 fue de 4,45 millones de USD, un 15 % más que en los tres años anteriores. Las empresas con un DRP sólido pueden reducir significativamente los costes de recuperación empresarial y otras consecuencias de un incidente imprevisto. El mismo informe reveló que, por término medio, las organizaciones que utilizan ampliamente la IA y la automatización de la seguridad ahorran 1,76 millones de USD en comparación con las que no lo hacen.
Reducción del ciberseguro
Debido a la magnitud y frecuencia de los ciberataques, muchas empresas confían en los ciberseguros para protegerse de peligrosas vulneraciones de seguridad. Muchas aseguradoras no asegurarán a una empresa que no haya establecido un DRP sólido. Los DRP pueden ayudar a reducir el perfil de riesgo global de su empresa con las aseguradoras y a mantener las primas bajas.
Menos multas en sectores muy regulados
Las empresas que operan en sectores muy regulados, como la sanidad y las finanzas personales, se enfrentan a fuertes multas y sanciones por las vulneraciones de datos. Acortar los ciclos de vida de respuesta y recuperación es fundamental en estos sectores, ya que la cuantía de una sanción económica suele estar vinculada a la duración y gravedad de una infracción. Las empresas con DRP sólidos pueden recuperarse con mayor rapidez y en su totalidad de un incidente imprevisto y enfrentarse a menos multas como resultado.
Los DRP más eficaces se elaboran junto con sólidos BCP e IRP que proporcionan un apoyo vital cuando se produce un incidente. Veamos algunos términos clave que son esenciales para entender cómo funcionan los PRD y qué hay que tener en cuenta a la hora de crear el suyo propio:
Conmutación por error o conmutación por recuperación
La conmutación por error es un proceso muy utilizado en el que las operaciones informáticas se trasladan a un sistema secundario cuando falla el principal debido a un corte de electricidad, un ciberataque u otra amenaza. La conmutación por recuperación es el proceso de volver al sistema original una vez restaurado. Por ejemplo, una empresa podría conmutar por error desde su centro de datos a un sitio secundario donde un sistema redundante se activará al instante. Si se ejecuta correctamente, la conmutación por error/conmutación por recuperación puede crear una experiencia fluida en la que el usuario/cliente ni siquiera es consciente de que está siendo trasladado a un sistema secundario.
Objetivo de tiempo de recuperación (RTO)
El RTO hace referencia a la cantidad de tiempo que se tarda en restaurar las operaciones comerciales después de un incidente no planificado. Establecer un RTO razonable es una de las primeras cosas que las empresas deben hacer cuando crean su DRP.
Objetivo de punto de recuperación (RPO)
El RPO de su empresa es la cantidad de datos que puede permitirse perder en un desastre y aún así recuperarse. Algunas empresas copian constantemente los datos a un centro de datos remoto para garantizar la continuidad en caso de que se produzca una vulneración masiva. Otros fijan un RPO tolerable de unos minutos (u horas), para saber que pueden recuperar lo que hayan perdido durante ese tiempo.
Recuperación ante desastres como servicio (DRaaS)
La DRaaS ha ido ganando popularidad últimamente debido a la creciente concienciación sobre la importancia de la seguridad de los datos. Las empresas que adoptan un enfoque DRaaS para crear sus DRP están externalizando su recuperación ante desastres a un tercero. Este tercero aloja y gestiona la infraestructura necesaria para la recuperación, luego crea y gestiona planes de respuesta y garantiza una rápida reanudación de las operaciones críticas para la empresa. Según un informe reciente de Global Market Insights (GMI) (enlace externo a ibm.com), el tamaño del mercado para DRaaS era de 11 500 millones de dólares en 2022 y estaba a punto de crecer un 22 % en 2023.
Con la prevalencia y la creciente sofisticación de la ciberdelincuencia, la mayoría de las organizaciones están centrando sus esfuerzos de DRP en su infraestructura de TI, incluidos los procedimientos de copia de seguridad de datos críticos (tanto dentro como fuera de las instalaciones) y la protección de datos. He aquí algunos ejemplos de planes informáticos de recuperación ante desastres que se han adaptado a una amenaza específica o a una necesidad empresarial:
Un DRP de centro de datos se centra en la seguridad general de las instalaciones de un centro de datos y en su capacidad para volver a funcionar después de un incidente imprevisto. Algunas amenazas habituales para el almacenamiento de datos son el exceso de personal, que puede dar lugar a errores humanos, los ciberataques, los cortes de electricidad y la dificultad para cumplir los requisitos de la normativa. Los DRP de centros de datos crean evaluaciones de riesgos operativos que analizan componentes clave, como el entorno físico, la conectividad, las fuentes de energía y la seguridad. Dado que los centros de datos se enfrentan a una amplia gama de amenazas potenciales, sus DRP de TI tienden a tener un alcance más amplio que otros.
Los DRP de red se basan en un conjunto claro de pasos para ayudar a una organización a recuperarse de una interrupción de los servicios de red, incluidos el acceso a Internet, los datos celulares, las redes de área local y las redes de área amplia. Teniendo en cuenta lo vitales que son los servicios de red para las operaciones empresariales, un DRP de red eficaz debe describir claramente los pasos, funciones y responsabilidades necesarios para restablecer los servicios de forma rápida y eficaz después de que la red se vea comprometida.
Un DRP virtualizado puede mejorar drásticamente la eficacia y la velocidad de un esfuerzo de recuperación. Los DRP virtualizados se basan en instancias de máquinas virtuales (VM) que pueden estar listas para funcionar en un par de minutos. Las máquinas virtuales son representaciones, o emulaciones, de ordenadores físicos que proporcionan recuperación de aplicaciones críticas mediante alta disponibilidad, o la capacidad de un sistema para funcionar continuamente sin fallar.
Dada la prevalencia del cloud computing en muchas cargas de trabajo empresariales, contar con un DRP personalizado para la restauración de servicios cloud es cada vez más común. Los DRP en la nube describen una serie de pasos que garantizan que se realicen copias de seguridad de los datos en la nube y que las aplicaciones y los sistemas que dependen de la nube se restauren sin problemas.
El desarrollo de un DRP comienza con un análisis de los procesos de negocio, un análisis de riesgos y unos pocos objetivos de recuperación claramente definidos. Aunque no existe una plantilla fiable que sirva para todos, hay varios pasos que puede dar (independientemente del tamaño de la empresa o del sector) para asegurarse de que dispone de un proceso para hacer frente a diversos incidentes.
Un análisis del impacto empresarial (BIA) es una evaluación cuidadosa de cada amenaza a la que se puede enfrentar una empresa y de sus ramificaciones. Una BIA sólida examina cómo una posible amenaza podría afectar a cosas como las operaciones diarias, los canales de comunicación y la seguridad de los trabajadores. Algunos ejemplos de consideraciones potenciales para un BIA incluyen la pérdida de ingresos, el coste del tiempo de inactividad, el coste de la reparación de la reputación (relaciones públicas), la pérdida de clientes e inversores (a corto y largo plazo) y cualquier sanción incurrida por infracciones de conformidad.
Los diferentes sectores y tipos de empresas se enfrentan a diferentes amenazas, por lo que el análisis de riesgos es fundamental para determinar cómo responder a cada uno. Puede evaluar cada riesgo por separado teniendo en cuenta tanto su probabilidad como su impacto potencial. Hay dos métodos ampliamente utilizados para determinar el riesgo: el análisis cualitativo y el análisis cuantitativo de riesgos. El análisis cualitativo se basa en el riesgo percibido, mientras que el análisis cuantitativo se realiza utilizando datos verificables.
Para recuperarse de un incidente cibernético, es importante tener una imagen completa de los activos que posee su empresa. Hacer un inventario regular ayuda a identificar el hardware, el software, la infraestructura de TI, los datos y otros activos que son fundamentales para las operaciones empresariales. Puede utilizar etiquetas como "crítico", "importante" y "sin importancia" como punto de partida para dividir sus activos en tres categorías generales, y luego asignarles etiquetas más específicas según sea necesario:
La sección de roles y responsabilidades de su DRP es posiblemente la más importante. Sin ella, nadie sabe qué hacer cuando se produce un incidente no planificado. Aunque las funciones y responsabilidades reales varían enormemente en función del tipo de negocio que se lleve a cabo, a continuación se indican algunas funciones y responsabilidades típicas contenidas en la mayoría de los DRP:
Para asegurarse de que su DRP se desarrolla de manera fluida durante un incidente real, debe practicarlo con regularidad y actualizarlo en función de los cambios significativos que se produzcan en su empresa. Por ejemplo, si su empresa adquiere un nuevo activo después de que se haya constituido su DRP, tendrá que incorporarlo a su plan para garantizar su protección en el futuro.
Las pruebas y el perfeccionamiento pueden simplificarse en tres pasos:
