👉 Esta actividad te ayuda a cumplir los siguientes controles:
ISO 27001 en su versión 2013: A.17.1.1, A.17.1.2, A.17.1.3, A.17.2.1
ISO 27001 en su versión 2022: A.5.29, A.8.14
¿Para qué me sirve esta actividad? 📚
Esta actividad te ayudará a definir las estrategias y procedimientos necesarios para recuperar los sistemas tecnológicos de tu empresa ante la ocurrencia de un desastre, situación de crisis o emergencias que pueden generar interrupciones, o incluso pérdidas de información.
💡 El conjunto de estas estrategias y procedimientos conforman el Plan de Recuperación ante Desastres, el cual también es conocido como DRP (Disaster Recovery Plan), por sus siglas en inglés.
¿Qué tengo que hacer? 🚀
Antes de comenzar, es muy importante comprender qué es el RPO y el RTO, los cuales son métricas clave para la definición de este plan.
RPO (Recovery Point Objective): Es el tiempo máximo aceptable que puede transcurrir entre el momento en que se realizó el último respaldo de información, y la ocurrencia del incidente o evento de seguridad. También podemos decir que es la pérdida de datos reales que puede tolerar la empresa.
RTO (Recovery Time Objective): Es el periodo de tiempo que la empresa necesita para recuperar sus sistemas, operaciones y/o servicios después de la inactividad producida por el incidente.
La siguiente imagen nos ayuda a ejemplificar mejor y de manera visual estos conceptos:
Ahora bien, para documentar tu DRP, te sugerimos realizar las siguientes actividades:
Asignación de responsables. Es muy importante definir quiénes serán los encargados de la aplicación y monitoreo de los procedimientos de recuperación que se establecerán en este plan. Recomendamos hacer esta asignación con un orden de escalamiento, de manera que si una persona no puede resolverlo, se cuente con el apoyo pertinente de otra persona o área para trabajar en conjunto, y responder ante el evento o incidente de seguridad.
Identificación de los elementos alcanzados. Lo que recomendamos hacer aquí es identificar todos los componentes, sistemas y recursos tecnológicos que deseas abarcar en este plan de recuperación. Es decir, todos aquellos elementos que pueden ser afectados por algún tipo de desastre, y que por ende, debes saber recuperar en el menor tiempo posible, para mantener la continuidad del negocio y minimizar el impacto a tus operaciones.
Creación de los procedimientos de recuperación. Debes analizar todos los posibles escenarios de caída de servicio, interrupción, fallas, etcétera que puedan ocurrir, sin importar lo poco probables que parezcan, ¡recuerda que lo más importante es estar preparado! Posteriormente, debes establecer cada una de las acciones que debes tomar para recuperar las operaciones normales.
Algunos de los escenarios de desastre más comunes que te recomendamos incluir en este plan son:
Indisponibilidad del servicio de nube.
Indisponibilidad de software.
Indisponibilidad de bases de datos.
💡 Dentro de nuestro template encontrarás propuestas de procedimientos de recuperación para cada uno de los escenarios mencionados anteriormente, pero recuerda que puedes ajustarlos, así como añadir otros procedimientos para todos los escenarios que consideres pertinentes para sentirte preparado, y que estén alineados al contexto y necesidades reales de tu empresa.
Definición de las métricas RPO y RTO. Es muy importante que definas tiempos realistas y factibles de RPO y RTO para tu empresa, ya que los procedimientos de recuperación que diseñes deben estar pensados para cumplir con dichos tiempos.
Usualmente las empresas pequeñas establecen un RPO de acuerdo a sus SLAs (Service Level Agreement) y sobre todo, de acuerdo a la periodicidad con la que realizan copias de seguridad, ya que recordemos que esta métrica corresponde a la pérdida de datos reales que pueden tolerar.
🚀 Recomendamos un RPO de 24 horas, considerando que es posible generar respaldos de información diarios a los sistemas.
Para definir un RTO adecuado es necesario que conozcas cuánto puedes demorar en levantar o recuperar los servicios y/o sistemas afectados. O de ser el caso, cuánto demoras en remediar el incidente de seguridad ocurrido.
🚀 Recomendamos un RTO de entre 4 a 8 horas, pero claramente esto dependerá de la complejidad del incidente o desastre, y las capacidades de la organización, por lo que puede ser más, siempre y cuando sea tolerable para tu empresa.
💡 Es importante que sepas que la ISO 27001 no nos indica un parámetro específico para definir estas métricas, por lo que no hay respuestas incorrectas. Todo debe ir alineado y bien justificado por las necesidades y contexto reales de tu organización, pero considerando siempre que el objetivo es proteger tu información y las operaciones, manteniendo la continuidad del negocio. Indica tiempos realistas que puedas cumplir, y conforme vayas realizando las pruebas de continuidad a estos procedimientos, podrás ajustar y mejorar tus tiempos de respuesta.
Revisión y mantenimiento del DRP. Este plan, al igual que toda la documentación del SGSI, debe revisarse y de ser el caso, actualizarse, por lo menos una vez al año o cuando ocurran cambios significativos. Y para esto, deben realizarse pruebas de continuidad, que corresponden básicamente a aplicar los procedimientos de recuperación en un tipo de simulacro, para garantizar que funcionan correctamente. Estas pruebas son de vital importancia ya que fungen como evidencia del mantenimiento y mejora continua de tu SGSI (esto lo realizas en la actividad #46 del plan de acción de Hackmetrix).
Nuestro template está estructurado con lineamientos para dar cumplimiento, además cuenta con ejemplos y recomendaciones que te servirán para terminar tu plan fácil y rápidamente, pero recuerda que debes ajustarlo al contexto de tu empresa 💪🏼.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Realiza pruebas continuidad a tus procedimientos de recuperación por lo menos una vez al año, cuando haya cambios significativos o siempre que lo consideres necesario.
Asegúrate que los responsables involucrados cuenten con la capacidad, conocimiento y poder de toma de decisión pertinentes para actuar de forma rápida y eficiente.
FAQs ❔
Consulta las preguntas frecuentes sobre esta actividad en el siguiente artículo.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti! Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.