¿Preparados para un incidente de ciberseguridad? (parte 2)
Con el objetivo de continuar con el anterior post en el que hablábamos sobre estar preparados para incidentes de ciberseguridad, seguimos en esta segunda parte con el proceso de Business Continuity Plan (BCP) o continuidad de negocios. El BCP sirve para cuando un incidente genera una catástrofe o una interrupción grave del negocio.
¿Cómo se implementa el BCP?
Lo primero que debemos determinar es el alcance del BCP. En teoría debería ser único para abordar todos los procesos críticos de la organización y ser capaz de definir todas las estrategias de recuperación necesarias que permitan salvar vidas y mantener el negocio tras una crisis. Sin embargo, es común encontrar BCP más acotados, orientados a satisfacer las necesidades de continuidad de uno o más procesos críticos.
Es fundamental definir un comité directivo para este propósito (C level). Si no se pudiera conformar, solicitar tiempo y atención de otro comité directivo ya existente. También debemos armar un equipo de trabajo multidisciplinar, que será el responsable de la parte operativa. Es fundamental que exista un representante de cada área de la compañía. Este equipo de trabajo es el que desarrolla, implementa y ejecuta el plan, mientras que el comité autoriza, supervisa, define roles, dota del presupuesto y toma las decisiones estratégicas.
A continuación, debemos identificar todos los procesos de la organización. En el mejor de los casos esto ya estará realizado; de lo contrario tendremos que hablar con los jefes de procesos para identificarlos y "diagramarlos". Una vez realizado esto y con apoyo de los jefes de procesos, se identificará la criticidad de éstos para el negocio. Ésto depende exclusivamente del core del negocio y el BCP, en este sentido, es un “traje a medida”.
Una vez identificados los procesos críticos, realizaremos evaluaciones de riesgos a éstos. En esta fase identificamos los potenciales riesgos a los que se encuentran expuestos y la probabilidad de que una vulnerabilidad sea explotada por una amenaza. Asimismo, medimos el impacto que causaría dicha explotación sobre los activos. El objetivo de esta etapa es gestionar los riesgos asociados a los procesos críticos.
Business Impact Analysis (BIA)
Continuando con nuestro plan, debemos realizar un BIA (Business Impact Analysis). Independientemente de que se hayan mitigado en su totalidad los riesgos de los procesos críticos, siempre existirá un riesgo residual (riesgo resultante después de la aplicación de controles) y siempre tendremos que estar preparados para enfrentar una crisis o desastre, por lo cual debemos identificar cómo una interrupción de estos procesos críticos impactaría en el negocio. La evaluación de riesgos es preventiva, el BIA es reactivo.
El principal objetivo del BIA es identificar el Objetivo de Tiempo de Recuperación o RTO (Recovery Time Objective), y el Objetivo de Punto de Recuperación o RPO (Recovery Point Objective). El RTO es el tiempo que el negocio soporta la interrupción del proceso crítico. Por ejemplo, un RTO de 2 horas quiere decir que puede estar 2 horas sin el servicio. Si se sobrepasa ese tiempo, existe un impacto en el negocio, por lo tanto la estrategia de recuperación estará basada en el RTO.
Por su parte el RPO está relacionado con el punto en el tiempo desde el cual se debe recuperar el proceso crítico. Un RPO de 2 días quiere decir que se necesitan por lo menos 2 días de información para que el proceso se vuelva a ejecutar de manera normal. Este punto está asociado a la cantidad de datos que la empresa se puede permitir perder, por lo cual nuestras estrategias de recuperación deben considerar los RPO en las estrategias de respaldo.
Con la información recopilada podremos desarrollar nuestras estrategias de recuperación para las posibles causas o escenarios de contingencia. Se recomienda utilizar las peores condiciones posibles, ya que en ellas estarán contenidos los demás escenarios. Las estrategias deben considerar, además de los procesos tecnológicos necesarios para la contingencia (DRP), las personas necesarias que cumplen roles dentro de los procesos críticos y su reubicación en caso necesario. Estas estrategias serán el corazón de nuestro BCP, ya que nos permitirán salvar vidas y minimizar o evitar un impacto negativo en el negocio a causa de una crisis o desastre.
Respondiendo algunos interrogantes
Tenemos que definir los procedimientos, grupos y roles (pueden ser distintos a los roles en operación normal) para responder y operar en emergencia o contingencia. Con esto debemos poder responder a las siguientes preguntas: ¿qué hacer en caso de emergencia?, ¿qué le digo a mis clientes?, ¿cómo contacto con mis empleados?, ¿dónde reubicaremos las dependencias?, ¿qué le respondo a los medios o a la prensa?
Para ello tenemos que definir nuestro plan de manejo y comunicación de crisis. Se deben generar instancias de presentación y coordinación con autoridades públicas (policía, bomberos, clínicas y hospitales). Debemos poder responder: ¿quiénes necesitan saber?, ¿qué necesitan saber? y ¿cuándo lo necesitan saber?
También es necesario realizar campañas, talleres y charlas de concienciación y formación para los equipos de trabajo, comité directivo y en general para todos los empleados. En lo posible, debemos generar un logo y eslogan, tratar de ser lúdicos para atraer al público objetivo y dar incentivos y premios a la participación.
Siempre digo que en ciberseguridad no debe existir la fe, sino que todo debe tener pruebas empíricas. Este plan no se eximirá de ello, por lo tanto debemos definir un plan de pruebas para las estrategias de recuperación y BCP en su totalidad. Existen varios tipos de pruebas, desde las más básicas y pasivas hasta las totales, entre las que destacan los ejercicios de escritorio, el simulacro detallado, los simulacros funcionales, los simulacros de evacuación y los ejercicios a gran escala. El BCP no será válido si no se ha probado, así que esta etapa es esencial.
Y ahora, ¿qué?
Una vez concretadas todas las fases, planes, procedimientos, pruebas, etc., estaremos en condiciones de armar nuestro BCP, que será la integración de toda la documentación generada. Una decisión muy importante que debemos tener la capacidad de responder con nuestro BCP es: ¿cuándo activarlo y entrar en contingencia y cuándo y cómo volver a la normalidad?
Para finalizar debemos definir un plan de mantención y actualización del BCP. En general, el BCP nos debe permitir contestar al quién, qué, dónde, cuándo y cómo. El BCP no es un proyecto, no es una tarea de una sola vez, no es por un período fijo de tiempo. Debe ser un plan permanente, dinámico, consistente en varios proyectos, interdependientes y reiterativos, al igual que la ciberseguridad.
Si aún no lo has hecho, a continuación puedes leer la primera parte de este post. Descubre también la 5ª temporada de nuestros #11PathsTalks.
.jpg)
.jpg)
 (1).jpg)