CONTINUIDAD DEL NEGOCIO

Diofanor Rodríguez CPP El compromiso de gobernar las tecnologías de la información a nivel corporativo, lleva consigo la aceptación de muchos desafíos particularmente interesantes. Tales desafíos en particular se refieren a estar siempre pendientes de vulnerabilidades, parches, virus, gusanos, troyanos y ese infinito etcétera de amenazas que golpean una y otra vez a los sistemas de la información. En circunstancias normales, los responsables de seguridad actúan proactivamente para prevenir los efectos nocivos de los ataques y, cuando no hay más remedio, porque la prevención ha fallado, se actúa reactivamente. De esta situación real surge un interrogante: ¿Se plantean los responsables, antes de cualquier acción, el riesgo que conllevan estas amenazas? Difícil balanza la que representa colocar en un lado la cantidad de riesgos que estamos dispuestos a aceptar y del otro la cantidad de recursos financieros, técnicos y humanos de los que disponemos para mitigar los riesgos en materia de seguridad de la información. En la gestión de la seguridad hay un episodio de especial importancia. Se trata de la recuperación ante desastres, concepto que tiene que ir asociado con otro de igual interés en la administración de la seguridad como es la continuidad de los negocios. Estos parámetros toman cada vez más cuerpo. Actualmente se ha propuesto un modelo de norma ISO, cuyo nombre será ISO/IEC 27006 "Guidelines for information and communications technology disaster recovery services" (Lineamientos para los servicios de recuperación de desastres en las tecnologías de información y comunicación), instrumento específicamente orientado a la continuidad y a la recuperación, suministrando guías específicas para los servicios de recuperación ante desastres, bien sean propios o externos. Esto no hace más que reafirmar la teoría de que los modelos de gestión están cada vez más orientados a la seguridad de la información, como el mecanismo que garantiza que los procesos que reposan en las tecnologías de la información posean el tratamiento óptimo, en aras del beneficio conjunto de todo el diagrama de procesos de la organización. Se prevé que ISO/IEC 27006 aparezca en torno a noviembre de 2007, y por lo que se puede ver en el borrador, se percibe una fuerte impregnación de la norma SS507 - Singapore Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers. Queda claro entonces que se hace necesario tener un plan empresarial que nos garantice que en el momento de un desastre de tecnología de información y comunicación, la continuidad del negocio no se vea afectada; pues la permanencia en un mercado ganando es la vida de una organización en cualquier parte del planeta. En las tecnologías de la información se deben tomar todas las prevenciones posibles, pues como todos sabemos la información es un activo valioso y como tal hay que protegerlo. Algunas de las cosas que aconsejan los expertos para contribuir con la recuperación ante un desastre hacen referencia a: · Revisar periódicamente las copias de seguridad realizadas toda vez que una copia resulta útil si la podemos restaurar· La escogencia del software de backup requiere el consejo de un experto, se debe reflexionar y aconsejar sobre la disponibilidad de mecanismos y sobre la forma rápida y corta de recuperación de información, que son de vital importancia. Muy seguramente se debe invertir.· Si es posible de forma periódica llevar las copias de seguridad a un lugar externo, para evitar posibles hurtos, accidentes y sabotajes.· Garantizar la seguridad física de las máquinas y evitar que personas por accidente o por actos mal intencionadas les causen daño; no se debe olvidar la instalación de las máquinas en entornos controlados, en donde la instalación de un sistema anti- incendio contribuye de forma activa en la prevención. · En el momento de buscar el lugar donde deben estar las máquinas de cómputo es importante observar que no haya instalaciones hidráulicas cerca, verificar que la red eléctrica sea segura y que cumpla con las especificaciones de la norma internacional.· Realice un buen análisis de riesgos; no descarte ninguno, pues en una oficina puede pasar de todo. Es importante la realización del análisis de riesgos por parte de un experto con el fin de poder determinar con un alto directivo que riesgos son aceptables.· Lograr una buena socialización de las medidas preventivas tomadas garantiza en parte el éxito o fracaso de cualquier plan de continuidad, toda vez que si las medidas que se toman son buenas de nada sirven si son guardadas y nadie la conoce.· Es muy importante realizar simulacros sin previo aviso; eso sí el presupuesto lo permite, pues no podemos olvidar que la información que podemos perder es valiosa.· Para finalizar, es importante la información que poseemos para encontrar los errores, problemas y las posibles soluciones a fin de poder tener un plan de recuperación de desastres que se asemeje a la realidad. Con esta información realice la priorización de los eventos teniendo en cuenta cual de ellos generaría una para o perdida total a la organización; recuerde siempre que lo que primero hay que recuperar es lo más rentable o vital para la organización.


Referencias:
Hispasec
Informe Panda Labs