Hola a todos
Como hemos aprendido durante el desarrollo del Blog, uno de los principales factores que la ISO 27001 trata de alivianar es la gestión de riesgos. Ya que Riesgo=(Impacto)x(Vulnerabilidad frente a una amenaza).
Un análisis basado en los riegos nos da una idea de como ajustar los recursos económicos de la empresa para lograr un protección efectiva. Para lograrlo es necesario agrupas los problemas de seguridad en varios tipos:
- Riesgos ocasionados por activos de alto impacto y alta vulnerabilidad: acciones inmediatas.
- Riesgos ocasionados por activos de bajo valor y alta vulnerabilidad: acciones inmediatas o planificadas.
- Riesgo ocasionados por activos de alto impacto y baja vulnerabilidad: acciones inmediatas o planificadas.
- Riesgos ocasionados por activos de bajo valor y baja vulnerabilidad: deben esperar a tener solventados cualquiera de los tres tipos de riesgos anteriores.
Por ejemplo, supongamos que somos los dueños de un muy modernos DATA CENTER, con lo último en tecnología, los servidores mas potentes, la mejor disponibilidad de red y el edificio mas seguro de todos. A simple vista poseemos una infraestructura muy robusta y auto-sostenible. Sin embargo, no poseemos un plan de contingencia ante una situación de desastres natural....?
Imagen Tomada de: http://www.carlonetech.com/w
Si llegase suceder un desastre natural como un terremoto o un incendio, nada en nuestra infraestructura serviría para contrarrestar el riesgo. Simplemente falláramos ante esta situación. Pero, cómo podemos evitarlo? Un plan de contingencia es una medida que aplica la estrategia de recuperación o restauración. Esto quiere decir que no es ni de carácter disuasorio (intenta alejar a la amenaza o al atacante), ni de carácter preventivo (intenta evitar la vulnerabilidad).
La naturaleza de este tipo de medidas tienen su utilidad una vez que ya el incidente se ha producido y su principal objetivo es reducir el impacto.
Un posible plan de contingencia para prevenir este tipo de situaciones, puede ser tener un contrato de outsourcing con una empresa extrajera, con su infraestructura ubicada en otro país, con la cual hacemos un procesos de Backup periódicamente. Simplemente tendríamos a disposición una copia de los datos que se perdieron en el desastre.
Sin duda un medida segura que nos previene de muchas pérdidas. Hallamos un articulo muy interesante donde hablan de como crear un plan estratégico para la continuidad del negocio, de aquí destacamos las siguientes reglas para la creación de un plan estratégico:
- Identifica tus activos y establece cuales son tus "activos críticos.
- Protege tus datos mediante backups y trabaja para reducir los tiempos de acceso a ellos cuando te vayan a hacer falta (Optimiza tu RTO)
- Revisa las medidas para garantizar el suministro eléctrico y las condiciones medioambientales.
- Forma y entrena a tu personal para estar preparados a responder en situaciones de desastre.
- Documenta, prueba y actualiza los planes de continuidad de negocio.
- Considera medios alternativos de garantizar tus telecomunicaciones.
- Asegúrate que tus proveedores estarán a la altura de tus necesidades cuando tengas problemas.
Asi que como dicen por ahi... hombre prevenido vale por dos....
-Editado para agregar la bibliografía-
Bibliografía:
http://www.enterprisestorageforum.com/continuity/article.php/3901086/7-Disaster-Recovery-Tips-for-Government-Agencies.htm
http://www.pagina12.com.ar/diario/elmundo/4-145257-2010-05-07.html
-Editado para agregar la bibliografía-
Bibliografía:
http://www.enterprisestorageforum.com/continuity/article.php/3901086/7-Disaster-Recovery-Tips-for-Government-Agencies.htm
http://www.pagina12.com.ar/diario/elmundo/4-145257-2010-05-07.html
No hay comentarios:
Publicar un comentario