Continuidad de operaciones: Más allá del plan de recuperación ante desastres

En la era digital, la organizaciones quedan abocadas a una obligada digitalización de toda su actividad, tanto a nivel estratégico, como de gestión y operación. En este contexto, protegerse ante los ataques cibernéticos mediante estrategias de seguridad informática, se convierte en un aspecto clave a la hora de garantizar la continuidad de operaciones intrínsecamente ligadas a sus sistemas de información.

Continuidad: aplicando medidas de disponibilidad

Cada vez se oyen más las palabras continuidad de negocio, recuperación ante desastres y ciber-resiliencia como las soluciones para recuperarse de un ataque informático que afecte a los sistemas de información y funciones críticas sobre las que se sustentan los procesos de negocio.

La continuidad puede verse como una derivada de la seguridad de la información, focalizándose esencialmente en la dimensión de la disponibilidad.

La aplicación de medidas de disponibilidad en las organizaciones no es que sea algo nuevo, ya se han venido tomando medidas (aunque sea a un nivel mínimo y de carácter puramente técnico), como la realización de copias de seguridad. Hace ya tiempo que España cuenta con legislación en materia de protección, obligando a la realización de copias de seguridad (al menos, de los datos personales), lo cual, de alguna forma, potenció la aplicación de ciertas medidas de mejora de la disponibilidad.

La irremediable evolución de las medidas de disponibilidad

Indudablemente, las citadas medidas de disponibilidad, aplicadas hasta el momento, empiezan a ser insuficientes en una realidad en la que los factores cambian a un ritmo trepidante desde varios frentes:

Escalada de ciberamenazas

Existe una alerta real ante el creciente número de ciberamenazas que pueden terminar en un incidente disruptivo.

De hecho, el informe «Ciberamenazas y Tendencias. Edición 2019» del Centro Criptológico Nacional (CCN) cita, como uno de los agentes de amenazas más significativos, la interrupción de servicios, es decir, el deterioro intencionado y temporal de la disponibilidad de la información, los sistemas de información o los servicios de información.

Una de las amenazas que afecta directamente a la continuidad, y que desde 2016 se ha multiplicado, es el ransomware, es decir, malware que imposibilita o restringe el acceso a un equipo a menos que se satisfaga un rescate (extorsión). Recordemos, por ejemplo, la campaña del WannaCry, de importante repercusión mediática. Tampoco podemos olvidar las amenazas de denegación de servicio (DDoS).

Y a este creciente número de amenazas que afectan a la disponibilidad, se suman otros agravantes, como puede ser la existencia de nuevas técnicas de distribución masiva de malware. Y ello sin olvidar que ya no hace falta ser un experto para producir un ataque que pueda generar una indisponibilidad, sino que ya se puede incluso adquirir como servicio: Crime-as-a-Service (CaaS), Ransomware-as-a-Service, servicios de botnet disponibles para ataques DDoS.

Dependencia tecnológica

La Transformación Digital de las empresas ha traído consigo una mayor dependencia de nuestros sistemas de información, lo cual se traduce en un aumento considerable del riesgo de sufrir ciberataques, particularmente incidentes disruptivos, como pérdida de datos cruciales.

Legalidad específica para Continuidad

El ordenamiento jurídico español de los últimos años nos ha traído una serie de requisitos legales que afectan directamente a la seguridad en general y a la disponibilidad en particular. Hemos pasado de unas obligaciones básicas de disponibilidad, por legislación de protección de datos personales (básicamente relacionadas con la realización de backup), a un endurecimiento de estos requisitos, al entrar en vigor diversa normativa, entre las que pueden citarse las siguientes:

• Esquema nacional de seguridad, “ENS” (RD 3/2010 de 8 de enero, modificado por el RD 951/2015 de 23 de octubre). Incluye medidas de directas de continuidad (anexo II. op.cont) y de medios alternativos, desde el equipamiento hardware (mp.eq.9) hasta las redes de comunicaciones (mp.com.9), pasando por otros elementos que no hay que olvidar en un plan de continuidad, como son las instalaciones físicas (mp.if.9), los proveedores (op.ext.9) y las personas (mp.per.9)

• Ley de protección de infraestructuras críticas, “LPIC” y su reglamento (Ley 8/2011, de 28 de abril, RD 704/2011, de 20 de mayo). Esta ley exige el desarrollo de planes de protección específicos para cada infraestructura declarada como crítica que garanticen la continuidad de los servicios proporcionados por el operador crítico. Estos planes de protección emanarán de un análisis de riesgos e incluirán las diferentes medidas de seguridad que se implanten para hacer frente a las amenazas tanto físicas como lógicas identificadas sobre cada una de las tipologías de sus activos en dicho análisis.

• Transposición de la Directiva NIS: Real Decreto-ley 12/2018, de 7 de septiembre, de seguridad de las redes y sistemas de información. Esta legislación afecta a la seguridad de las redes y sistemas de información utilizados para la prestación de servicios esenciales de los sectores estratégicos definidos en la LPIC y a la de determinados servicios digitales. Exige la disponibilidad de alternativas para mantener un nivel suficiente de prestación del servicio.

• El Reglamento General de Protección de Datos, “RGPD” (Reglamento (UE) 679/2016). En el artículo 32 del RGPD (Seguridad del tratamiento), se exige la implementación de medidas de seguridad que incluyan, entre otros, la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

La Continuidad pasa de la acción puntual a la estrategia global

Todo apunta a que las organizaciones deberían plantearse un nuevo enfoque de la continuidad de forma que, no solo consista en tener mecanismos de copias de seguridad, sino en disponer de una estrategia de respaldo y recuperación alineadas con el entorno actual (nuevas amenazas y requisitos legales) y las necesidades del negocio.

Plan de Contingencia

En primera instancia, las organizaciones deben abordar la realización de un Análisis de Impacto en el Negocio (BIA) en el que se calculen los daños causados a la organización por la indisponibilidad de recursos ante un incidente disruptivo en función del tiempo y, en base a los resultados de este análisis, determinar los tiempos máximos de recuperación.

Según cuales sean estos tiempos de recuperación, se determinarán las diferentes estrategias de respaldo y recuperación y, por ende, el Plan de Continuidad (Business Continuity), incluyendo el Plan de Recuperación ante Desastres (por sus siglas en inglés DRP: Disaster Recovery Plan). Es importante que los dueños de los procesos corporativos y la dirección se implique en este análisis, ya son ellos quienes tienen los criterios para mejor valorar las consecuencias por indisponibilidad de las operaciones.

Entre las metodologías de análisis de impacto en el negocio cabe destacar MAGERIT, que puede abordarse mediante la herramienta PILAR.

Este ejercicio es clave para optimizar la inversión en Continuidad, puesto que se recuperarán los recursos en la medida en que no sea más costoso recuperarlos que lo que se pierda por la indisponibilidad de los mismos. Al igual que las inversiones en seguridad deben abordarse conforme a riesgos, en el caso de la continuidad las inversiones de respaldo y recuperación debe realizarse conforme a impactos por indisponibilidad.

Gestión de la Continuidad

Activar el Plan de Continuidad no es suficiente, es necesario un mantenimiento y mejora continuos si no queremos que estos mecanismos dejen de ser efectivos con el tiempo.

Y para gestionar la continuidad es preciso un marco de gestión que contemple todo el ciclo de vida (planificación, implementación de planes, pruebas, mejoras) y todo ello sin dejar de lado la formación y concienciación de los implicados, así como la participación activa y soporte de la dirección.

La gestión puede basarse en el estándar internacional ISO 22301, que contempla el mencionado ciclo (ciclo PDCA: Plan, Do, Check, Act) y, además, su cumplimiento es certificable por una entidad acreditada.

La respuesta tecnológica a la Continuidad

El mercado tecnológico, consciente de las crecientes necesidades de ciber-resiliencia, también ofrece soluciones de continuidad mucho más avanzadas y sofisticadas que las que había hace algunos años. Desde la realización de copias de seguridad en modalidad cloud a la contratación online de plataformas de respaldo en tiempos récord.

Claves de la Continuidad

• Estrategia de respaldo y recuperación: Basada en un análisis de impacto en el negocio en el que se implique la dirección.
• Cumplimiento estándares: Una adecuada consideración de los requisitos normativos o estándares relacionados con la Continuidad.
• Estrategia de gestión: Un adecuado marco de gestión que abarque todo el ciclo de vida (Plan, do, Check, Act).

Con ello garantizaremos la minimización del impacto que un incidente disruptivo pueda causar en la continuidad de nuestras operaciones, a la vez que optimizaremos los costes asociados a los mecanismos empleados para implementar dicha continuidad.