Guía minimización del impacto de un incidente de seguridad sobre la información de una empresa

¡Buenas a todos! Sí que hace tiempo sí! 5 meses para un nuevo post es demasiado tiempo pero no he estado demasiado motivado para escribir, aunque no he dejado de hacer cosas y leer.

En esta entrada traigo una guía para mitigar el impacto de un incidente en los procesos de negocio de la empresa. Con ella pretendo poner en negro sobre blanco resumido, adaptado y completado el contenido de un vídeo muy interesante del que he podido disfrutar mientras hacía un curso de Incibe relacionado con la Ciberseguridad para PYMES y Autónomos. 

Esta guía podría formar parte del Plan de Contingencias TIC de una Organización que a su vez podría formar parte del Plan de Continuidad de dicha Organización. Porque no es lo mismo un Plan de Contingencia que un Plan de Continuidad de Negocio. No está en el alcance de esta entrada especificar los detalles de cada uno de los planes, pero ya que hemos tocado el tema los definiré.

Un Plan de Contingencia TIC [1], “estrategia planificada en fases, constituida por un conjunto de recursos de respaldo, una organización de emergencia y unos procedimientos de actuación, encaminados a conseguir una restauración ordenada, progresiva y ágil de los sistemas de información que soportan la información y los procesos de negocio considerados críticos en el Plan de Continuidad de Negocio de la compañía”. Está más orientado a nivel de IT.

Por otro lado, un Plan de Continuidad de Negocio está por encima del Plan de Contingencia, más a nivel de negocio, según ISACA "Proceso destinado a reducir los riesgos del negocio de una organización originados en una interrupción inesperada en las funciones/ procesos (manuales o automáticos) necesarios para la supervivencia de la organización. Esto incluye los recursos humanos/ materiales que dan soporte a estas funciones/ procesos críticos así como el aseguramiento de la continuidad del nivel mínimo de servicios necesarios para las operaciones críticas".

La guía contendrá una serie de aspectos a considerar para minimizar y mitigar el impacto de los incidentes de seguridad que se pudieran producir en las Organizaciones derivados de los riesgos a los que éstas se encuentran expuestos.

1.     Documentar el equipamiento esencial de la empresa

• Lista de equipos de la empresa

• Crear y establecer una estrategia de acceso seguro a la información almacenada.

2.      Centralizar la información y crear copias de seguridad

• Reunir toda la información/ documentación esencial de la organización en un repositorio documental.

• Realizar copias almacenadas físicamente fuera de las instalaciones de la organización. La frecuencia y el tipo de copias de seguridad deberá estar relacionado con la criticidad de la información que se respalda.

• Documentar el proceso de recuperación de copias con la finalidad de:

• Agilizar el proceso de recuperación frente a alguna contingencia

• Comprobar periódicamente que sabemos y podemos restaurar las copias, así como si éstas se están llevando a cabo correctamente.

3.      Identificar los contratos externos esenciales

• Lista con información de contacto de personas y/ o empresas ajenas a la organización cuya ayuda se podría necesitar en caso de que se produzca un incidente que pueda comprometer la continuidad del negocio.

4.      Determinar el equipo de contingencia

• Hacer uso de proveedores de equipamiento alternativo en caso de que el equipamiento de la empresa resulte dañado.

• Identificar Servicios, Equipos y Recursos que cada proveedor podría proporcionar en caso de contingencia. Con esto se gana tiempo, dado que de lo contrario cuando surjan las necesidades tendríamos que proceder a buscar y comparar los proveedores y no debe ser el momento de hacerlo.

5.      Localizar una ubicación de contingencia

• Ubicación temporal de la empresa o servicio de la misma, dentro de las instalaciones de la empresa o fuera donde se llevarán a cabo las operaciones de la empresa mientras la ubicación original no esté disponible.

• Desde la ubicación temporal deben estar accesibles la información así como los recursos necesarios para que el personal pueda desarrollar su trabajo.

6.      Determinar quién puede realizar teletrabajo

• Si hubiera operaciones que no pudieran continuar en las instalaciones de la empresa y dichas operaciones pudieran realizarse fuera de la misma, el teletrabajo es una opción para que los empleados puedan realizar las funciones propias de sus puestos de trabajo.

• Si se considera el teletrabajo como una opción habría que dotar de una conexión segura la conexión con la organización. Para ello sería conveniente la utilización de un servidor VPN con lo que la información que pase a través del túnel creado vaya cifrada garantizando su confidencialidad.

7.      Formación de los empleados sobre las herramientas que utilizan

• Formación de los empleados para que utilicen de forma correcta los sistemas corporativos.

• Establecer las políticas y los medios necesarios para que los empleados no puedan instalar software sin autorización.

• Navegar por páginas web de contenido de dudosa reputación.

• Concienciación y buen uso del correo electrónico corporativo.

• Cumplimiento de las políticas de seguridad de la empresa.

No es una tarea simple, pero este esfuerzo ahorrará importantes pérdidas económicas así como el desgaste de la imagen de la Organización en caso de producirse un incidente de seguridad.

Todo ésto tiene que ir como he mencionado en ocasiones anteriores a crear una cultura de Seguridad de la Información en la empresa, nadie dijo que fuera fácil.

¿Te ha parecido interesante la entrada? ¿Aburrida? ¿Útil? ¿Patética tal vez? Estaría encantado de que me comentaras tus impresiones y opiniones, así como de completar la entrada con tus sugerencias y apreciaciones.

¡Nos leemos en la próxima! Espero que no sea dentro de 5 meses... 

¡Un saludo!

Referencia

https://www.incibe.es/blogs/post/Empresas/BlogSeguridad/Articulo_y_comentarios/Contingencia_vs_Continuidad