Cuando se habla de gestionar la seguridad de la información en la empresa, lo primero que se viene a la mente son dispositivos para protección de la red de datos, sistemas contra códigos maliciosos, contraseñas seguras, control de acceso, restricción del uso de dispositivos removibles y otra cantidad de políticas, procedimientos y tecnologías con el objetivo de garantizar que la información de la empresa estará a salvo en condiciones normales de operación. Pero, ¿se encuentra preparada la empresa para afrontar una situación de contingencia garantizando condiciones aceptables de operación y la seguridad de la información?
Un parte muy importante del Sistema de Gestión de Seguridad de la Información debe ser el Plan de Continuidad del Negocio (BCP, Business Continuty Planning), el cual debe contemplar las acciones que una empresa debe seguir para recuperar y restaurar las actividades críticas del negocio en un tiempo prudencial y de manera progresiva regresar a la normalidad; garantizando en todo momento la integridad, confidencialidad y disponibilidad de la información.
Ante una eventualidad que afecte el normal funcionamiento de las operaciones de una empresa, lo primero que se quiere es restablecer todos los servicios con el objetivo que el cliente no se vea afectado. Pero en este afán de restablecer rápidamente el orden, muchas veces se descuida la seguridad de la información, ya que se llevan a cabo una serie de eventos que pueden hacer vulnerable la información de la empresa. Algunos ejemplos de esto son cuando se restaura la información sin garantizar la integridad o las medidas de contingencia no funcionan como era esperado. Así como también, puede ocurrir que los enlaces de comunicación de respaldo funcionen con condiciones de cifrado y seguridad más bajas para permitir todo el tráfico de datos que se genera. Todas estas medidas pueden afectar fuertemente a la organización.
Por eso, cuando hablamos de un BCP, debemos tomar en cuenta algunos aspectos en su implementación. En primera instancia un BCP debe contemplar la seguridad del recurso humano y que se encuentre en las condiciones necesarias para cumplir con su tarea. Luego, a partir de un análisis de impacto, donde se evalúan cuales son las actividades y recursos claves para garantizar las funciones más críticas del negocio; se planea el restablecimiento escalado de todas las actividades de la empresa. Este punto es muy importante ya que para garantizar la seguridad de la información en este proceso es bueno tener claro el tráfico que se va a generar para garantizar canales de comunicación con las medidas de seguridad adecuadas que lo soporten, definir quienes son las personas que accederán a la información durante la emergencia y cuáles son los mecanismos para restablecerla.
Asimismo, no se debe olvidar que quizás lo más importante de un BCP es que sea probado. De nada sirve tener los mejores servidores de respaldo si al momento de restablecer los servicios críticos, estos no funcionan; o tener un canal de datos dedicado si no se lo puede restablecer a tiempo, o peor aún, tener funcionales los servicios del negocio dejando vulnerable la información de la empresa.
La implementación de estos planes conlleva un trabajo dispendioso, y seguramente la primera vez que sea realizado puede resultar costoso para una empresa. El pensamiento en estos casos no debe ser cuento se va a gastar, sino cuanto podría dejar de perder la empresa en caso que se presente una contingencia que afecte su normal funcionamiento: planear para lo peor, esperando siempre lo mejor.
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research