Cómo salir de un incidente de seguridad de nuestra información

Si nuestro amable lector es alguien relacionado con el ámbito de las microempresas la respuesta seguramente sería: improvisar.

Pero no debemos engañarnos, improvisaremos mejor si tenemos algo preparado y por eso está bien invertir unos minutos en pensar cómo puede afectar a la marcha futura de nuestra empresa un suceso que afecte a la información que tenemos que manejar para que esta funcione. Cuando esto ocurre lo normal es ver como todo el mundo comienza a improvisar más o menos alocadamente y a tomar decisiones bajo presión, lo que puede llevar fácilmente al desastre definitivo.

En las empresas de mayor tamaño ciertamente se encuentran previstos habitualmente lo que se conoce como planes de contingencia, incluso adaptados a las normativas ISO 27000 pero ciertamente,   si ya resulta difícil invertir tiempo y recursos en mejorar la seguridad de la información, añadir esta nueva carga a las empresas de menor tamaño puede sonar a ciencia ficción. Sin embargo estar mínimamente informado puede ayudar y mucho a minimizar los inevitables trastornos que conllevan cosas como una fuga de información, un incendio, inundaciones, accidentes, fallos en equipos,  o acciones intencionadas de personas, tanto internas, como externas, etc.

El objetivo de un plan de contingencia es poder reaccionar mejor a la interrupción de las actividades empresariales y proteger los procesos críticos de negocio cuando se producen desastres o de fallos  relevantes en nuestros  sistemas de información, así como garantizar su oportuna reanudación.

  • Lo primero que tenemos que determinar es cuales son los activos críticos de  la empresa y analizar las amenazas que pueden impactar sobre estos activos.

La gestión de la continuidad del negocio incluye controles preventivos para identificar y reducir los riesgos, además del proceso general de evaluación de riesgos, limitar las consecuencias de incidentes y garantizar que la información necesaria para los procesos empresariales está disponible.

  • En las empresas que puede establecer sistemas de seguridad basados en la normativa ISO se elaboran unas tablas que sistematizan lo anteriormente indicado, tales como la que figura a continuación:
Nombre del Activo Impacto sobre la empresa Coste de Reposición Valoración de la incidencia

 

Aquí se relacionan los activos de la empresa, se valora el impacto que tendría su pérdida y cuando costaría recuperarlo, valorándolo con una puntuación concreta para ir ordenándolos en función de dicha valoración. Así se pueden ir priorizando las actuaciones a realizar.

  • Una vez que hemos localizado los  activos identificados como más críticos, se han de identificar los principales riesgos en base a probabilidad de ocurrencia e impacto,  para lo cual es útil utilizar una tabla como la que figura a continuación:

 

Nombre del Activo Amenaza Probabilidad real de producirse Impacto Actual Riesgo Actual Prioridad

·         Finalmente estableceremos los eventos, o secuencias de estos, que pueden provocar interrupciones y evaluación de riesgos en los procesos de negocio de la organización.

  • Dependiendo de los resultados de la evaluación de riesgos, debería desarrollarse una estrategia de continuidad de negocio para determinar el enfoque general de continuidad de negocio. Cuando se haya creado esta estrategia, debería ser refrendada por la dirección y debería crearse un plan para implementar esta estrategia.

Un ejemplo, sería establecer los siguientes eventos:

  1. Acceso no deseado a información sensible del servidor
  2. Robo en oficina (equipos, documentación)
  3. Error crítico causado por el personal.
  4. Fallo grave en bases de datos remotas (si se tiene información en la nube, por ejemplo)
  5. Pérdida de imagen o de la reputación de la empresa
  6. Indisponibilidad de las instalaciones (incendio, corte suministros, etc.)
  7. Indisponibilidad de personal técnico.

 

  • Sobre cada uno de estos eventos (por ejemplo 1 al 7) se establece un plan concreto de contingencia, para lo cual sería muy útil poner por escrito en algún formulario las siguientes cuestiones:
Evento (ejemplo) Responsable de gestionar la incidencia Cuando se activa el plan de recuperación Que se ha de realizar Que se ha de comprobar después
Ejemplo 1

Indisponibilidad de las instalaciones

Empleado A Cuando se detecta la indisponibilidad (incendio, inundación, corte suministro eléctrico, etc.) Quien detecte la incidencia valorará si se puede solucionar por los propios medios o se ha de avisar a las autoridades (debería estar previstos en el Tablón de Anuncios un listado de teléfonos útiles) Que la incidencia ha sido solventada y las consecuencias que tiene para la empresa y para terceros

 

 

Todo lo anterior puede resumirse en seguir unas mínimas directrices:

  1. Tener un plan previsto de respuesta a los incidentes. Este no necesita ser muy largo o detallado pero si tener respuesta a lo esencial
  2. Tener definidas y avisadas las personas adecuadas que han de liderar la respuesta al incidente
  3. Establecer medidas para aprender y asegurar que la incidencia no vuelva a producirse
  4. Practicar ocasionalmente simulacros de los eventos más probables.