Hoy miércoles 21 de abril se celebra el día mundial de la creatividad e innovación: Descubre como los CIO's y CISO's enfrentan los desastres.
Incendios, tormentas, inundaciones, huracanes, Hackers y ataques de ransomware, desastres naturales y una pandemia actual que ha recorrido por el mundo y planea quedarse años.
Si alguien sigue pensando que tener un plan de recuperación de desastres y de continuidad del negocio no es una gran prioridad, es que no ha estado prestando atención a los últimos acontecimientos. A medida que superemos la pandemia del COVID-19, las organizaciones comenzarán a pensar en una nueva normalidad que, sin duda, será más remota, más digital y más basada en la nube. Los planes de recuperación de desastres tendrán que evolucionar para seguir el ritmo de estas condiciones empresariales cambiantes.
Además, los requisitos empresariales para la recuperación de desastres han cambiado drásticamente. Hubo un tiempo en que era aceptable que el tiempo de recuperación se midiera en días u horas. Ahora son minutos. En algunos casos, las unidades de negocio exigen un tiempo de inactividad cero en caso de una interrupción no planificada.
He aquí los fundamentos de un plan de Recuperación de Desastres/Continuidad del Negocio (Disaster Recovery “DR”, Business Continuity “BC”) de última generación para 2021 y más allá. (Sin entrar en demasiadas definiciones, digamos que la recuperación de desastres es conseguir que la infraestructura de TI vuelva a funcionar, mientras que la continuidad del negocio es una disciplina más amplia que consigue que la empresa vuelva a funcionar una vez que las luces vuelven a estar encendidas).
Integrar la ciberseguridad, la detección/respuesta a las intrusiones y la recuperación de desastres en un plan global de protección de datos
Para los CISO (Chief Information Security Officer - Oficial principal de la seguridad de la información), el primer objetivo de un plan de recuperación de desastres es evitar el desastre en primer lugar, lo cual es cada vez más difícil. En primer lugar, los datos ya no están a salvo en un centro de datos local. Están distribuidos en entornos locales, nubes de gran escala, el borde y aplicaciones SaaS (Software as a Service - Software como un servicio).
En segundo lugar, la pandemia sacó a millones de trabajadores de los confines seguros de la oficina corporativa a sus oficinas en casa, donde el Wi-Fi es menos seguro y donde los colaboradores podrían estar compartiendo datos sensibles en aplicaciones de colaboración.
En tercer lugar, los piratas informáticos se dieron cuenta de estas oportunidades de ataques en expansión y lanzaron masivamente nuevos ataques de ransomware más específico, pasando de ataques de escritorio a los ataques basados en servidores que suelen ser mucho más mortíferos debido al mayor valor de los activos cifrados pudiendo paralizar a las organizaciones con peticiones de rescate que pueden llegar a costar millones.
En respuesta a estas condiciones cambiantes, los CISOs deberían centrarse en reforzar la seguridad de los puntos finales para los trabajadores remotos, desplegando VPNs y encriptación, protegiendo los datos en reposo sin importar dónde vivan, y también asegurándose de que las herramientas de colaboración no se conviertan en una fuente de vulnerabilidades de seguridad.
Realizar un análisis de impacto empresarial (Business Impact Analysis - BIA)
Las organizaciones necesitan llevar a cabo un análisis exhaustivo del impacto en el negocio para identificar y evaluar los efectos potenciales de las catástrofes desde el punto de vista de las consecuencias financieras, el cumplimiento de la normativa, la responsabilidad legal y la seguridad de los empleados.
Recuerde que no es necesario proteger todo. Las organizaciones que realizan estos ejercicios suelen sorprenderse al descubrir servidores que no hacen nada más que ejecutar un proceso empresarial rutinario de back-end una vez al mes, o incluso una vez al año.
Las organizaciones necesitan priorizar las aplicaciones dependiendo en que tan críticas son para el negocio, e identificar todas las dependencias asociadas con un proceso de negocio, particularmente las aplicaciones que pueden haber sido virtualizadas a través de múltiples servidores físicos, podrían estar ejecutándose en contenedores en la nube, o en entornos de nube sin servidores.
Clasificar los datos
En la misma línea, no es necesario proteger todos los datos, sólo los que se necesitan para que la empresa siga funcionando. Lo que sí hay que hacer es localizar, identificar y clasificar los datos. Asegúrese de proteger los datos que entran dentro de los requisitos normativos, los datos de los clientes, los datos de los pacientes, los datos de las tarjetas de crédito, la propiedad intelectual, las comunicaciones privadas, etc. La buena noticia es que existen herramientas que pueden automatizar la identificación y clasificación de los datos.
Considere la recuperación de desastres como servicio (DRaaS - Disaster Recovery as a Service)
La DRaaS es una opción cada vez más popular para los CISO de las organizaciones pequeñas y medianas que desean mejorar de forma rentable la resiliencia de las TI, cumplir con los requisitos de cumplimiento o normativos y solucionar las deficiencias de recursos. Los servicios de DRaaS cubren toda la gama de recuperación de desastres y continuidad del negocio, proporcionando flexibilidad y agilidad a las empresas.
Desarrollar un plan de comunicación sólido
El simple hecho de volver a poner en marcha los servidores no tiene sentido si no se conocen las funciones y responsabilidades de cada uno. ¿Tiene la gente los números de teléfono móvil y las direcciones de correo electrónico adecuados para compartir información? ¿Disponen los accionistas de un manual que explique cómo responder a una crisis en términos de contacto con las fuerzas del orden, los equipos jurídicos externos, las empresas de servicios públicos, los socios clave de la tecnología y la cadena de suministro, la alta dirección, la base de empleados en general, los equipos de relaciones públicas externos, etc.?
Dependiendo de la naturaleza de la catástrofe, los grupos de redes podrían tener que establecer nuevas líneas de conectividad para los trabajadores remotos y reconfigurar los flujos de tráfico; los equipos de mantenimiento podrían tener que realizar la resolución de problemas a distancia, los equipos de seguridad podrían tener que reajustar los firewalls, cambiar las políticas de acceso, ampliar la protección de la seguridad a nuevos dispositivos o a recursos basados en la nube. Es más importante contar con un grupo de profesionales adecuados que el respaldo de la información por sí misma.
Automatizar las pruebas
Para poner a prueba la preparación ante una catástrofe, las empresas realizan tradicionalmente ejercicios, donde los principales actores se reúnen físicamente para representar escenarios de recuperación de desastres. Sin embargo, muy pocas empresas y organizaciones le dan importancias a este proceso, y las que lo hacen, no lo realizan muy seguido; a todo esto, si le sumamos catástrofes como la pandemia, dificultan o incluso imposibilitan este tipo de reuniones.
Las nuevas herramientas pueden probar automáticamente los procedimientos de copia de seguridad y recuperación de forma continua e identificar los posibles problemas que deben abordarse. Las soluciones de prueba modernas también son capaces de utilizar la tecnología de sandboxing (Un entorno que replica el área operativa de un ordenador, sin arriesgar el sistema) para crear entornos seguros en los que las empresas pueden probar la recuperabilidad de las aplicaciones sin afectar a las redes de producción.
Crear copias de seguridad de datos inmutables
Los atacantes de ransomware tienen como objetivo los repositorios de copias de seguridad, especialmente en la nube. También se dirigen a las aplicaciones SaaS. En respuesta, las organizaciones deben mantener una copia de los datos que no pueda ser alterada.
Las empresas también deberían investigar entornos de recuperación aislados, como el air gapping, en el que una copia de los datos vive en un entorno no conectado al de producción.
Realice actualizaciones continuas
Los CISO que actualizan sus planes de DR/BC deberían seguir el ejemplo de especialistas en operaciones y desarrollo. No se trata de hacer una cosa y ya está, sino de mejorar continuamente. Los planificadores de DR deben estar al tanto de cualquier cambio en la empresa que pueda afectar a la capacidad de recuperación, incluidos los empleados que trabajan desde casa de forma permanente, la apertura o el cierre de tiendas u oficinas remotas, la sustitución de aplicaciones por SaaS y el traslado de datos. Además, la tecnología mejora constantemente, por lo que hay que estar atento a las nuevas herramientas que pueden ayudar a automatizar los procesos de DR/BC. El plan no debe quedarse en la estantería acumulando polvo. Debe actualizarse con regularidad.
Planificar a largo plazo
A la luz de todo lo que ha ocurrido en los últimos años, es un buen momento para cambiar el pensamiento sobre DR/BC de reactivo a proactivo. Por desgracia, entre las emergencias de salud pública, el cambio climático y el aumento de los ciberataques, las catástrofes parecen producirse con más frecuencia y son ciertamente más devastadoras. Los planes de DR/BC deben adelantarse a las amenazas, no simplemente responder a ellas.
Por ejemplo, dependiendo del lugar donde se encuentra su empresa, su plan de DR/BC tiene que asumir que habrá catástrofes específicas del entorno. Las empresas preocupadas por la pérdida de energía cuando se produzca el próximo desastre natural podrían pensar en generar su propia energía a partir de fuentes alternativas.
Un plan de DR/BC exitoso requiere que las empresas lleven a cabo lo básico, pero también es una oportunidad para que las empresas encuentren formas creativas e innovadoras de mantener el negocio en funcionamiento cuando ocurra un desastre.
Comments