Riesgos Tecnológicos (TIPS #2): Plan de Contingencias

Estamos en un contexto de cambio, estamos en un contexto de riesgos emergentes que no estaban en los planes de los Departamentos de Auditoría más experimentados, y dentro de estos riesgos emergentes nos encontramos con el COVIT-19.  Si estuviéramos en un área de evaluación de riesgos podríamos estar ponderando este riesgo como un riesgo de probabilidad de ocurrencia baja (y esperemos que siga siendo así) pero con un impacto catastrófico.  El impacto catastrófico lo podemos ver en las empresas que ya han cerrado y en las empresas que actualmente están tratando de sobrevivir.  Pero no sólo eso, también hemos visto que en estas épocas los riesgos de intrusiones en nuestros sistemas de información, ciberataques, etc. también se han incrementado exponencialmente. Por lo tanto, tenemos  dos riesgos que se han visto potenciado en estos últimos tiempos los cuales pueden comprometer la disponibilidad de la información que manejamos. 

En estos tiempos la información es un activo estratégico de las organizaciones, si a esto le sumamos que las empresas actualmente dependen de sus sistemas de información dado que gran parte de sus procesos de negocios está soportados por los mismo, por lo tanto, una interrupción prolongada de los mismos puede causar riegos financieros, problemas de reputación o bien en una situación de máxima el cierre de la empresa.

Dado entonces que las empresas necesitan seguir manteniendo sus sistemas porque los mismos están directamente ligados a los procesos claves que desempeñan, la pregunta es ¿Qué podemos hacer?. Aquí surgen dos conceptos que no son los mismo pero que contribuyen precisamente a evitar esta situación.

¿Qué es el DRP?

El Disaster Recovery Planning o Plan de Recuperación de Desastre en español se refiera a todas las acciones tendientes precisamente a recuperar todos los aspectos tecnológicos que tiene una empresa.

Lo que persigue es tener definido un conjunto de procedimientos que mitiguen el riesgo que existe si alguna contingencia afecta el funcionamiento de los recursos tecnológicos.

Por lo tanto, en este esquema debemos definir entro otras cosas lo siguiente:

  • Disponer de un árbol de llamadas para notificar en función a una lista de contactos con sus respectivos números telefónicos al personal clave, aquellos que tendrán una función asignada en el plan de recuperación,
  • Copias de Seguridad: Realizar copias de seguridad de la información clave, softwares claves e información relevante de la organización, esta información debería estar en instalaciones externas a la empresa,
  • Centro de Cómputos alternativo: Disponer de un centro de cómputos de contingencia que permita restaurar las operaciones mínimas que la organización ha definido.
  • Disponer de planes escritos que establezcan las acciones a tomar, forma en que se debe recuperar la información, forma en que las aplicaciones deben volver a ser levantadas para que funcionen nuevamente.

¿Qué es un BCP?

Por otro lado, tenemos el Business Continuity Plan, Plan de Continuidad de Negocio el cual son las acciones destinadas a mantener a la empresa en funcionamiento.

A diferencia del DRP que lo que trata es de recuperar los recursos tecnológicos, en BCP intenta que la empresa siga en marcha, por lo tanto, se definirán procedimientos de como actuar en cada uno de los procesos ante una contingencia, ¿debemos emitir facturas manuales?, ¿Debemos destinar vigilancia manual en depósito versus molinetes o dispositivos biométricos?

Si lo vemos como un todo, y como hemos dicho, la mayoría de los procesos de negocios están soportados por sistemas, por lo tanto, cuando hablamos de mantener la continuidad del negocio y sus operaciones a través del BCP estamos también incluyendo en DRP, dado que gran parte de estos procesos están soportados por tecnología.

Lo importante en este análisis de riesgo que hemos hecho es que un Plan de Contingencias es más que relevante en estos tiempos, estamos cada vez más expuestos a riesgos emergentes que pueden comprometer las operaciones de nuestra organización tener un DRP y principalmente un BCP puede ser la diferencia entre poder seguir operando o no.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s