Plan de Continuidad

Plan de Continuidad de negocio y el llamado a la protección de datos

La tecnología cada vez nos sorprende más, y de eso nos podemos dar cuenta en este periodo de confinamiento. Actualmente podemos visitar el museo del Louvre, asistir a un concierto sin salir de casa, transportarnos virtualmente con un ser querido que está lejos y claro, hacer el ya famosísimo Home Office. Para que todas estas actividades se puedan llevar a cabo, cada empresa debe contar con tecnología de vanguardia, de lo contrario se presentaría una pérdida incalculable y justo en estos momentos es lo que menos se quiere.

Por estas razones el contar con un plan de recuperación de desastres  es fundamental para lograr la continuidad de negocio, el análisis a fondo de cómo funciona un negocio evitará las posibles amenazas y por lo tanto las pérdidas de cualquier tipo.

Para esto existe el Business Impact Analysis o Análisis de Impacto al Negocio  según el BSI (British Standards Institute), se define como “El proceso de analizar las funciones de la empresa y el efecto que una interrupción del negocio puede tener sobre estas“; en donde la comprensión de los impactos financieros y de operación son los más importantes. Cuando se logran identificar y comprender estos impactos, se pueden desarrollar programas de continuidad de operaciones y estrategias efectivas para minimizar riesgos en caso de una interrupción.

En la elaboración de todo Plan de Continuidad de Negocio y Recuperación de Desastres, es preciso realizar una labor de análisis previa que permita cuantificar el impacto derivado de una eventual contingencia sobre el negocio.

En base a ese análisis es posible determinar las necesidades y recursos de procesamiento en situación de contingencia, evaluar las opciones de respaldo y recuperación que mejor se ajusten a las necesidades expuestas; es la base de planificación sobre la que las estrategias de continuidad serán desarrolladas.

Una realización correcta del BIA es fundamental para identificar y categorizar los procesos y funciones críticas de la organización, de modo que se puedan tomar decisiones acertadas en cuanto a la planeación de estrategias de Continuidad de Negocio.

A estas alturas es indispensable identificar las amenazas o riesgos que puede sufrir la empresa, una vez que se han identificado se puede continuar con el proceso de análisis, este debe ser acompañado por una instancia de evaluación exhaustiva; en esta etapa se decide si es factible asumir el riesgo evaluado o se desecha la operación.

Las amenazas que se pueden presentar son diversas, es por esto que la evaluación de riesgos que se propone para tener una gestión adecuada es cualitativa y cuantitativa, de esta manera se puede tener una mejor visión al momento de decidir.

Si aplicamos una valorización cualitativa, la probabilidad de que la amenaza se materialice es: Alto- muy probable, Medio-algunas veces, Bajo- rara vez.

El objetivo del análisis de riesgos es identificar todos aquellos factores que pueden impactar a la organización, pudiendo generar una interrupción del servicio y potencial pérdida de ingresos, imagen, clientes o rendimientos a los accionistas.

Las amenazas de alto peligro deben ser analizadas e incluidas dentro del BCP de acuerdo a la forma como afecten los procesos críticos. Cada empresa elige un criterio de evaluación, sin embargo no es aceptable que un evento ponga en riesgo la continuidad del negocio, por ejemplo, si el robo de datos confidenciales de nuestros clientes no pone de inmediato en riesgo la Continuidad del Negocio, este debe ser manejado como parte del tratamiento de riesgos y se debe elaborar un plan de acción para mitigar el riesgo y evitar que con el tiempo se convierta en una contingencia que afecte la Continuidad del Negocio.

Por otra parte la  gestión de riesgos se encarga de identificar, evaluar y controlar las amenazas que puedan ocurrir en la empresa; es importante aclarar que sin una correcta gestión, no se puede conseguir una mejora en el impacto de cualquier evento en la Continuidad de Negocio.

Ahora bien ¿es importante contar con una Gestión de Riesgos? La respuesta..¡sí!, en la actualidad todas las empresas se enfrentan a riesgos potencialmente inesperados, provocando pérdidas económicas considerables, sin embargo gracias a los procesos que la conforman se pueden tomar decisiones que minimicen los riesgos y costos antes de que estos sucedan.

El principal beneficio que brinda a las empresas, es la capacidad de generar confianza en las decisiones que se deben tomar, logrando crear un ambiente de trabajo seguro y protegido para el personal y los clientes.

Para ayudar a la gestión de los riesgos y minimizar el impacto de los incidentes que provocan una interrupción de la actividad, se recomienda cumplir con los requisitos de la norma “ISO 22301: Gestión de la Continuidad del Negocio.

Debido al incremento a nivel mundial de la circulación de datos de carácter personal a través de diversos medios electrónicos y digitales, al intercambio de información entre empresas y gobiernos y al interés de mantener la confidencialidad de la información personal, México se suma a la protección de datos personales con la promulgación de la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).

Publicada el 05 de julio de 2010 esta ley es de orden público y observancia general en toda la República, dicha ley está alineada con los preceptos originales que otras naciones, el respeto a los derechos humanos y a las libertades individuales. Su objetivo es la protección de los datos personales en posesión de particulares para regular su tratamiento legítimo, informado y controlado a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas.

Basada principalmente en el modelo europeo, la LFPDPPP se compone de 69 artículos, agrupados en 11 capítulos. Algunos de los temas que comprende es al aviso de privacidad, en el que se debe especificar la finalidad de la recopilación de datos, el tratamiento (debe incluir una autorización previa del titular de los mismos), estos solo podrán ser utilizados  para el fin que fueron recabados, así mismo el tratamiento de datos deberá contemplar la protección contra daño, pérdida, alteración, destrucción, acceso o uso no autorizado.

 La capacidad de procesamiento de datos, ha ido en aumento en los últimos años debido a los avances tecnológicos, en este sentido, las empresas tienen un mayor compromiso en cuanto a este tema se refiere, el manejo de la información es confidencial y por ningún motivo se debe compartir con personas que no estén involucradas en el negocio; para resguardarlos, existe la Regulación General de Protección de Datos (GDPR), se encarga de implementar  cambios sustanciales en la ley de protección de datos.

Cualquier empresa independientemente de su ubicación geográfica que tenga datos sobre ciudadanos de la UE deberá cumplir con la normatividad, de lo contrario las sanciones por incumplimiento pueden ser superiores al 4% de la facturación global.

La GDPR impacta directamente en el almacenamiento, procesamiento, acceso, transferencia y divulgación de los registros de datos de un individuo y afecta a cualquier organización a nivel mundial que procese datos personales de la Unión Europea. Esta ley reemplaza a la antigua Data Protection Directive de 1995 y a sus versiones locales (LOPD), lo cual supone la mayor reforma a la legislación de privacidad de los últimos 20 años. Se trata del resultado del trabajo reciente de la Unión Europea para estandarizar la normativa existente en lo que respecta a la utilización de datos de carácter personal en ámbito europeo.

Dentro de los múltiples cambios requeridos por la nueva normativa, surge la obligación de disponer de soluciones de continuidad de negocio o de Disaster Recovery Plan. Según el artículo 32 de esta ley se expone lo siguiente: Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya:

  • La seudonimización y el cifrado de datos personales
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

 Al evaluar la adecuación del nivel de seguridad se tendrán en cuenta los riesgos que presente el tratamiento de datos, como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma.

Estamos de acuerdo que uno de los aspectos más vulnerables de una empresa es la seguridad de la información, ya que puede comprometer la continuidad de su actividad y hasta su propia supervivencia, el ataque de piratas informáticos, un incendio o inundación pueden llegar a destruir información clave o hacer que caiga en manos de terceros que puedan hacer un uso indebido de los datos personales.

La Seguridad de la Información implica áreas como la protección de información digital, documentos en papel y activos físicos (computadoras y redes). Mejora de las competencias y concientización de los propios empleados sobre la importancia de la protección técnica,  el rigor en las normas de uso y las recomendaciones para protegerse contra fraudes o sabotajes informáticos.

Entonces ¿cómo protegemos los datos empresariales?. Es importante saber qué datos son los que las empresas necesitan proteger, identificar dónde se almacena, quién tiene acceso a ella y con quién se comparte. Al observar la mayoría de los datos privados o aplicaciones, las empresas siempre deben preguntarse si realmente necesitan esa información y por qué. Estos datos son siempre de mayor valor para un hacker y por lo tanto tiene el mayor riesgo de ser robados.

Es fundamental evaluar las estrategias de protección de datos, es decir cómo exactamente están protegiendolos (por ejemplo, con encriptación, tokenization o pseudonymisation). Esto debe centrarse en los datos que se están produciendo, los  que se han respaldado ya sea in house o en la nube .

 Para que un plan de continuidad del negocio tenga éxito, debe incluir un plan de recuperación de  desastres TI con procesos detallados para la protección y recuperación de datos. Hay que asegurarse de que los datos estén protegidos en la totalidad de los objetivos del punto de recuperación (RPO) y los objetivos de tiempo de recuperación (RTO). Esto significa tener una estrategia de protección  que incluya todo, desde la disponibilidad continua hasta el respaldo y el archiving.

La protección de datos es el proceso de salvaguardar la información importante de cualquier tipo de delito cómo la corrupción o  simplemente su pérdida. Es  primordial comprender que la pérdida  representa un gran riesgo para la mayoría de las empresas , para entender completamente el valor de los datos, podemos hacernos preguntas como: ¿cuánto daño sufriría la empresa si fuera imposible interactuar con los clientes?, cumplir con los pedidos, medir las operaciones,  sin duda estos acontecimientos nos generarían un gran dolor de cabeza ¿verdad?.

Es por ello que las copias de seguridad de datos son cruciales, deben ocurrir con frecuencia para garantizar que si se pierden los datos puedan ser restaurados y no causen daños irreparables.

Recapitulando, tres son los pasos esenciales para la protección de datos empresariales:

  • Evaluación (conocer y entender el valor de cada tipo de datos y las implicaciones que tendría su pérdida).
  • Revisión (investigar y analizar las posibles amenazas).
  • Protección (basado en la evalución y la identificación de las amenazas. Se debe utilizar toda la información para desarrollar soluciones efectivas de prevención y recuperación de datos)

Dejar un comentario

Tu dirección de correo electrónico no será publicada.