Continuando con la anterior publicación, donde comentamos la importancia de los datos en las empresas, vamos a ver ahora como tener un buen plan definido nos ayudara a reducir los efectos de incidencias imprevistas.
Una vez somos conscientes que la seguridad de la información al 100% no existe. Las empresas deben estar preparadas para protegerse y reaccionar ante posibles incidentes de seguridad que pudieran dañar la capacidad operativa o hacer peligrar la continuidad del negocio.
¿Qué es un plan de contingencia?
Un plan de contingencia es un conjunto de procedimientos a seguir en caso de incidente. Su finalidad es la de permitir el funcionamiento de esta, aun cuando alguna de sus funciones deje de hacerlo por distintas causas que pueden ser tanto internas como ajenas a la organización.
Tenemos que ser capaces de dar una respuesta rápida y eficaz ante cualquier contingencia grave, de manera que podamos recuperar la actividad normal en un plazo de tiempo tal que no se vea comprometido nuestro negocio.
Para ello es aconsejable que las empresas cuenten con un Plan de Contingencia, donde regularemos los mecanismos a poner en marcha en caso de un incidente grave de seguridad de la información. Estos mecanismos nos ayudarán a mantener el nivel de servicio en unos límites predefinidos, establecerán un periodo de recuperación mínimo, recuperarán la situación inicial anterior al incidente, analizarán los resultados y los motivos del incidente, y evitarán la interrupción de las actividades.
¿Qué elementos debo incluir en el plan de contingencia?
Debemos de tener presente que mucho dependerá de la infraestructura de la empresa y de los servicios que ésta ofrezca para determinar un modelo de desarrollo de plan, no existe un modelo único para todos, lo que se intenta es dar los puntos más importantes a tener en cuenta.
Documentar el proceso nos ayudara a que cualquier persona puede actuar siguiendo las pautas indicadas.
Un plan de contingencia debe incluir las siguientes etapas básicas:
- Evaluación: Fase en la que evaluamos las posibles contingencias a las que nos podríamos enfrentar en el futuro.
- Planificación: Definición estratégica y táctica del plan.
- Test de viabilidad: Prueba de los principales puntos clave para cerciorarnos de que el plan tiene sentido.
- Ejecución: Puesta en marcha del plan si fuera necesario. Obviamente, lo ideal es que no tengamos que utilizarlo nunca.
- Recuperación: Vuelta a la normalidad de la situación, siguiendo las pasos indicados
- Concienciación: Tan importante como el desarrollo de un plan es su posterior difusión y concienciación entre todas las personas de le empresa.
Las tres primeras etapas hacen referencia al componente preventivo y las ultimas a la ejecución del plan una vez ocurrido el siniestro.
Queda claro que lo único que permite que una institución, empresa o persona pueda reaccionar de manera adecuada ante una crisis de seguridad, es mediante la elaboración, prueba y mantenimiento de un plan.
En conclusión, en caso de desastre, el hecho de tener definido y poder aplicar un Plan de Contingencia repercutirá positivamente en nuestra imagen y reputación, además de mitigar el impacto financiero y de pérdida de información crítica ante estos incidentes.
