Cuando las copias de seguridad no son suficientes: continuidad del negocio, ciberresiliencia y supervivencia empresarial
Acontecimientos como apagones a gran escala, afecciones tras ciberincidentes o ciberataques no son abstracciones. Llegan como servidores que se apagan, operaciones que se detienen o decisiones que hay que tomar en tiempo real con información incompleta. Para la mayoría de las empresas, ese momento es la primera comprobación real de si el trabajo de continuidad del negocio realizado en tiempos más tranquilos fue serio o meramente cosmético.
______
La expresión utilizada para describir el colapso total de un sistema, 'ir a cero', es un término existencial. Describe el momento en que una empresa pierde su capacidad para operar, atender a los clientes o incluso comunicarse. Las copias de seguridad y las instantáneas en la nube no evitan que una organización vaya a cero.
Una copia de seguridad responde a la pregunta de qué datos se pueden recuperar, pero no responde a la pregunta de cómo sobrevive la empressa durante el intervalo hasta que se completa esa recuperación.
¿Cuánto tiempo podría funcionar su empresa a un nivel significativo y si sus sistemas de TI principales no estuvieran disponibles durante cuatro horas? ¿Durante veinticuatro? ¿Durante una semana?
Este no es un escenario hipotético diseñado para presentaciones en la sala de juntas. Es el escenario para el que se ha creado la gestión de la continuidad del negocio (BCM). Y, sin embargo, para muchas empresa, la respuesta honesta sigue siendo que no lo saben.
Para comprender por qué la resiliencia organizativa falla tan a menudo en la práctica, resulta útil trazar un mapa de las cuatro disciplinas que se supone que deben prevenir el fallo, y comprender con claridad dónde empieza y termina cada una.
Análisis de impacto en el negocio: la base que nadie omite, pero en la que muchos invierten de forma insuficiente
El análisis de impacto en el negocio (BIA) es el punto de partida de todo programa serio de BCM. No se pregunta qué podría salir mal. Se pregunta: si esta función específica no estuviera disponible durante treinta minutos, cuatro horas o cinco días, ¿cuál sería el impacto preciso financiero, legal, reputacional?
Del BIA surgen dos de las métricas más trascendentales en la planificación de la continuidad:
- El Objetivo de Tiempo de Recuperación (RTO), que define la duración máxima aceptable del tiempo de inactividad de un sistema o proceso.
- El Objetivo de Punto de Recuperación (RPO), que define la pérdida máxima aceptable de datos medida en tiempo.
No son métricas de TI. Son compromisos empresariales. Un RTO de cuatro horas para un sistema de procesamiento de transacciones significa que la dirección de la empresa ha aceptado hasta cuatro horas de indisponibilidad. Esa aceptación tiene implicaciones financieras, contractuales y de reputación.
El RTO y el RPO no son parámetros técnicos. Son la declaración formal de la empresa sobre cuánta interrupción está dispuesta a absorber y cuánta no.
El BIA también pone de manifiesto lo que quizá sea el riesgo más subestimado en la planificación de la continuidad: la dependencia humana. Las empresas suelen diseñar elaboradas arquitecturas de recuperación de TI y descuidan preguntarse quién las activa, quién decide cuándo escalar el problema y qué ocurre si esa persona no está disponible. Los sistemas críticos pueden ser restaurados en minutos por un ingeniero experimentado, y tardar días si ese ingeniero es el único que conoce el procedimiento.
¿Refleja el BIA de su organización las decisiones reales tomadas bajo presión por personas reales, o refleja una versión idealizada de cómo se supone que debe funcionar la organización?
La gestión de la continuidad del negocio (BCM) es el programa que lo rige todo. Es esa capa de gobernanza que se sitúa por encima del BCP. Mientras que el BCP es un documento, un conjunto de procedimientos y responsabilidades, la BCM es un sistema de gestión: un ciclo continuo de evaluación de riesgos, planificación, formación, pruebas y mejora. La distinción es importante desde el punto de vista operativo.
Suele pasar que muchas empresas confunden la BCM con la documentación del BCP. Tienden a creer que, una vez redactado el plan, el trabajo está hecho. Esto es precisamente un error. Un BCP que no se ha probado no es un plan, es una hipótesis. Un programa de BCM sin ejercicios periódicos reales, revisiones posteriores a los incidentes y ciclos de mejora estructurados no es gestión de la continuidad, es teatro de la continuidad.
■ Tanto la norma ISO 22301 y el NIST coinciden en la misma idea: la continuidad es un proceso, no un resultado. Las seis funciones del NIST CSF 2.0 (Gobernar, Identificar, Proteger, Detectar, Responder, Recuperar) no son una lista de verificación que se complete una sola vez. Son una postura operativa continua.
Aquí la ciberresiliencia va mucho más allá. Por ello el NIST SP 800-160 planteo un marco para la ingeniería de la ciberresiliencia que tiene profundas implicaciones en la forma en que las empresas conciben sus estrategias de supervivencia. Su idea central es la siguiente: ya no basta con diseñar sistemas que resistan los ataques. Los sistemas deben diseñarse para anticipar condiciones adversas, soportarlas, recuperarse de ellas y adaptarse como resultado de ellas.
Estas cuatro propiedades Anticipar, Resistir, Recuperarse, Adaptarse no son pasos secuenciales. Son posturas simultáneas que un sistema resiliente mantiene en todos sus estados operativos:
- Una empresa que puede recuperarse, pero no puede anticiparse se verá constantemente sorprendida.
- Una que puede resistir pero no puede Adaptarse luchará indefinidamente la última guerra.
Los cuatro pilares de la ciberresiliencia (NIST SP 800-160v2r1)
- Anticipar: mantener la conciencia del panorama de amenazas y los posibles modos de fallo antes de que se materialicen.
- Resistir: absorber las interrupciones y seguir prestando los servicios esenciales, incluso en condiciones degradadas.
- Recuperarse: restablecer la plena capacidad de manera oportuna, validada según los compromisos de RTO/RPO predefinidos.
- Adaptarse: aprender de los incidentes y los ejercicios; incorporar ese aprendizaje en diseños, procedimientos y capacidades actualizados.
Ahora bien, las implicaciones prácticas de este marco son significativas. La ciberresiliencia no es un proyecto de Ciberseguridad. Es un reto de diseño organizativo que abarca la gobernanza, los recursos humanos, la arquitectura tecnológica, las relaciones con los proveedores y la estrategia de comunicación.
—Un ataque de ransomware que cifra los sistemas principales es un incidente de Ciberseguridad. La capacidad de la empresa para mantener las operaciones básicas, comunicarse con los clientes y ejecutar sus procedimientos de recuperación en esas condiciones es un resultado de la resiliencia, y depende mucho más de la gobernanza y la preparación que de cualquier control técnico.
¿Se ha probado la solución Disaster Recovery as a Service (DRaaS) de su empresa no solo para la recuperación técnica, sino para el escenario operativo completo: equipos que activan el plan, comunicaciones que funcionan a través de canales alternativos y usuarios que acceden con éxito a los servicios restaurados?
Esta pregunta es clave porque una de las deficiencias más comunes identificadas en las implementaciones de DRaaS no es la recuperación de los servidores, sino la conectividad entre esos servidores y los usuarios que los necesitan. Un sistema puede restaurarse por completo en un centro de datos secundario y seguir siendo inaccesible para los clientes porque los requisitos de conectividad de red no se tuvieron en cuenta en el diseño de la arquitectura de recuperación. La tecnología por sí sola no genera resiliencia.
■ En Telefónica Tech proporcionamos a nuestros clientes servicios avanzados y la experiencia especializada de nuestro equipo para ayudarles a mantener la operativa y la disponibilidad de sus servicios ante escenarios críticos. Más información →
Cloud Híbrida
Ciberseguridad
Data & AI
IoT y Conectividad
Industria
Salud
Banca y Finanzas
Sector Público
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Ciudades Inteligentes