ISO 27001 ¿Está preparada tu empresa para superar un desastre?

Un blog editado por ISOTools Excellence

SGSI

Blog especializado en Sistemas de Gestión
de Seguridad de la Información

cerrojo

ISO 22301 ¿Está preparada tu empresa para superar un desastre?

ISO 22301 ¿Está preparada tu empresa para superar un desastre?

ISO 27001.

ISO 27001

Hace apenas un mes, el Huracán Mathew mantuvo en vilo a diferentes países del Caribe. Generó desastres de tanta magnitud que nos lleva a pensar sobre cómo de preparadas se encuentran nuestra empresas para enfrentarlos. Esto hace que la norma ISO 22301.

Todo el mundo se encuentra de acuerdo con la importancia de contar con una estrategia de recuperación de desastres implantada para proteger el negocio ante una caída inesperada de sus sistemas informáticos o de comunicación.

DR es la capacidad que tiene una empresa de recuperar de forma efectiva sus datos, aplicaciones, redes, comunicaciones y demás servicios después de que se genere una caída del servidor. Su propósito es el de evitar que se altere el esquema definido para el procesamiento electrónico de sus datos y que no se vean afectados los servicios que sustentan a los procesos.

Una organización, necesita de un plan de estas características para asegurar la continuidad del negocio y de sus operaciones. Para no enfrentar importantes perjuicios económicos, pérdida de credibilidad ante sus clientes y seguir siendo competitivos frente a los mercados, que cada día son mucho más complejos.

En caso de que se vean afectados por un desastre, la capacidad de recuperación puede ser la diferencia entre el éxito y el fracaso de sus negocios.

Una excelente alternativa es evaluar un plan de recuperación basado en servicios en la nube. Es una forma rentable y ágil de mantener su negocio funcionado durante y después de un desastre.

DR en la nube tiene una serie de beneficios:

  • Recuperación rápida
  • Aumenta la flexibilidad de la demanda de recursos
  • Los datos se pueden copiar de un sitio a otro en tiempo real
  • Reduce costos de inversión
  • Se paga por lo que se necesite y cuando se necesite
  • Permite el acceso a infraestructura segura de clase mundial

Otra gran ventaja, es desprenderse de la localización geográfica. Aún se recuerda el huracán Katrina que inundó prácticamente la ciudad de Nueva Orleans en el año 2005. Como consecuencia todos los planes de recuperación de desastres basados en infraestructura informática alojada en la misma ciudad fracasaron. Sin ir más lejos, toda Mendoza es una zona sísmica que se encuentra en amenaza constante.

Los planes de DR dependen del tipo de empresa, del presupuesto y del tipo de información que manejen. Hay un enfoque basado en mejores prácticas, que se puede aplicar a cualquier organización.

Existen tres etapas críticas que se deben considerar:

  • Definir los requisitos
  • Desarrollar un plan
  • Realizar pruebas

La definición de los requerimientos

La practicidad de su aplicación depende de la disponibilidad presupuestaria. El DR es diferentes para cada negocio en función de la cantidad de servicios informáticos contemplados en el plan. Una variable fundamental, es el tiempo de recuperación que necesita su organización. Para algunos los tiempos de recuperación se miden en minutos y para otros en semanas. A menor tiempo más costoso será el plan que deba implementarse. Puede ser que solo se incluyan sistemas críticos o la totalidad de ellos.

La etapa de definición de requisitos se inicia con la evaluación del riesgo y su posible impacto en el negocio. Se deberá realizar una evaluación total de los activos informáticos y de comunicaciones, debe identificarse cuales son los datos críticos, como aquellos en los que el negocio puede tolerar su pérdida y seguir operando.

Con la magnitud del riesgo y el análisis de los tiempos de recuperación establecidos, se puede hacer un ejercicio del costo del plan y decidir en una etapa temprana su factibilidad de implantación.

Al diseñar el plan se pueden considerar alojar datos de la empresa dentro o fuera de las instalaciones. Siempre se debe pensar en la efectividad de la contingencia. Es mejor pensar en alojarlos externamente en un sitio remoto. En caso de confiarlos a un proveedor externo, se deben asegurar de que cuente con la certificación en ISO 27001. Además deberá tener experiencia demostrable en gestión de infraestructuras, que sus circuitos de conectividad sean diversos y que cuente con el soporte técnico necesario para garantizar la disponibilidad y la continuidad del procesamiento de la organización.

Durante esta fase se deben definir los tiempos de recuperación. Es decir, el tiempo que se necesita para recuperar la actividad normal de la organización.

El desarrollo del plan

Una estrategia exitosa de DR abarca una serie de componentes:

  • Datos
  • Personas
  • Instalaciones físicas

Al desarrollar un plan es importante tener en cuenta que debe involucrarse toda la organización.

Las pruebas y evaluaciones

La etapa final es un proceso continuo. Se realizan pruebas exhaustivas planificadas para asegurarse que el plan funciona. Con los planes tradicionales de DR es difícil hacer estas pruebas en vivo sin llevar a cabo interrupciones en los sistemas que se utilizan de forma habitual. Un ensayo de planes más complejos tiene asociado un riesgo implícito. En el caso que se considere la opción de sistema de recuperación contratado como servicio es importante negociar con el proveedor una evaluación de todo.

Software ISO 22301

El Software ISOTools Excellence para la norma ISO 22301, permite que el Sistema de Gestión de Continuidad en el Negocio se administre de forma automática para así ser capaz de que la organización tenga tiempos de respuesta breves y el tiempo invertido en dicha gestión sea el más optimo posible.

Seguridad de la información
1 Star2 Stars3 Stars4 Stars5 Stars (No Ratings Yet)
Loading...

Loading Facebook Comments ...