Llegamos a ustedes gracias a:



Reportajes y análisis

Recuperación de desastres vs recuperación de seguridad

Por qué se necesitan estrategias separadas

[04/10/2017] Muchas empresas combinan sus planes de recuperación de desastres y recuperación de seguridad en un paquete único, limpio y fácil de tomar. Pero, ¿tiene sentido ese enfoque?

En realidad, no, dicen una variedad de expertos en recuperación de desastres y seguridad, incluyendo a Marko Bourne, quien dirige la práctica de gestión de emergencias, la asistencia para desastres y la práctica de la garantía de misiones de Booz Allen. "La seguridad y los planes de desastre están relacionados, pero no siempre son lo mismo", señala.

Los objetivos de recuperación de desastres y planes de recuperación de seguridad son inherentemente diferentes y, a veces, conflictivos, explica Inigo Merino, ex vicepresidente de la unidad de seguridad corporativa y continuidad empresarial de Deutsche Bank y actual CEO de Cienaga Systems. "La diferencia más obvia es que la recuperación de desastres tiene que ver con la continuidad del negocio, mientras que la seguridad de la información se aboca a la protección de los activos de la información", señala. "El aspecto menos evidente es que la respuesta a incidentes de seguridad a menudo requiere análisis detallados de las causas, recolección de evidencia, preservación y una respuesta coordinada y a menudo furtiva".

Tales operaciones por lo general tienen que ser manejadas muy delicadamente. "Por otro lado, [los planes de continuidad de negocio] son por naturaleza eventos muy públicos que requieren de todas las manos involucradas y comunicaciones a gran escala, con el objetivo de una rápida y táctica reanudación del negocio", indica Merino.

Los planes de recuperación de desastres, por lo general, se centran en la calidad de los datos primero y luego en el procesamiento de los negocios", anota Scott Carlson, un compañero técnico de BeyondTrust, un desarrollador de productos de gestión de identidades y gestión de vulnerabilidades. "Para la seguridad, se basa en la capacidad del control de protección sin tener en cuenta si ha perdido o no datos anteriores, es mucho más importante 'proteger lo que vendrá' en un plan de seguridad".

Similar, pero diferente

Muchas empresas combinan sus estrategias de desastre y seguridad como una cuestión de conveniencia, atraídas por las aparentes similitudes superficiales de los planes. "En un nivel alto, los planes de recuperación de desastres y seguridad hacen actividades similares", anota Stieven Weidner, gerente senior de la consultora de administración Navigate. "Inicialmente, ambos planes tendrán procedimientos para minimizar el impacto de un evento, seguido de cerca por los procedimientos para recuperarse del evento y, finalmente, los procedimientos para hacer pruebas y volver a la producción", señala. Ambos tipos de planes también incluyen generalmente un proceso de "lecciones aprendidas" para minimizar la posibilidad de que ocurra de nuevo un evento similar.

Sin embargo, rascar la superficie revela que los planes de recuperación de desastres y seguridad son en realidad fundamentalmente diferentes. "Los planes de recuperación [de desastres] se centran en la recuperación de las operaciones de TI, mientras que los planes de seguridad se centran en prevenir o limitar las interrupciones de TI y mantener sus operaciones", señala Weidner.

Un plan de recuperación de seguridad está diseñado para detener, aprender y, a continuación, corregir el incidente. "Un plan de recuperación de desastres puede no seguir esos pasos, pero la nomenclatura probablemente no usaría la palabra 'detección' para describir un incendio o un evento de inundación, ni habría mucho en el camino de la analítica", comenta Peter Fortunato, gerente de riesgo y negocios en la firma de contabilidad Baker Newman Noyes con sede en New England. "Además, no muchos desastres requieren la recopilación de evidencias".

Otro riesgo en la fusión de planes es la posibilidad de obtener atención pública no deseada. "Por ejemplo, invocar un plan de recuperación de desastres a menudo requiere notificaciones a gran escala, dirigidas a los principales interesados", señala Merino. "Sin embargo, esto es lo último que se quiere durante una cuestión que requiere investigación, como una sospecha de violación de red, debido a la necesidad de recopilar y preservar la integridad de la evidencia electrónica altamente volátil".

Unir conjuntamente reglas y procedimientos complejos de seguridad y recuperación de desastres también puede resultar en la creación de un documento innecesariamente voluminoso, ambiguo y a veces contradictorio. "Si trata de combinar procesos y recursos en un solo plan, puede ensuciar las aguas, simplificar excesivamente o complicar el proceso", afirma Dan Didier, vicepresidente de servicios para GreyCastle Security, un proveedor de servicios de seguridad cibernética. Aunque algunos procesos de recuperación de desastres y seguridad pueden ser similares, como clasificar el impacto global de un incidente; otros procesos no son tan fáciles de combinar. "Además, es probable que tenga diferentes recursos involucrados, por lo que la capacitación y las pruebas son complicadas, al igual que las actualizaciones del plan", explica Didier.

Incendios, tormentas, apagones y otros eventos físicos son impredecibles, pero su naturaleza es generalmente bien entendida. Por otra parte, las amenazas a la seguridad son impredecibles y, dado el carácter rápidamente progresivo de la cibercriminalidad, por lo general mal comprendidas. Esto significa que las estrategias de recuperación de la seguridad deben ser revisadas y actualizadas con más frecuencia que sus homólogos de recuperación de desastres.

Un plan de recuperación de seguridad es sin duda más difícil de mantener actualizado que un plan de recuperación de desastres, señala Anthony McFarland, un abogado de privacidad y seguridad de datos en la oficina de Nashville de la firma de abogados Bass, Berry y Sims. "Nuevas amenazas cibernéticas externas surgen semanalmente", señala. Sin embargo, la lista de desastres causados por el hombre, o por causas naturales que podrían amenazar a un negocio es relativamente estática. "Incluso cuando un negocio se expande geográficamente, el número de nuevos desastres anticipables es limitado, añade McFarland.

La respuesta a un desastre debe ser inmediata, pero la respuesta a un evento cibernético debe ser aún más rápida. "Esto se amplifica porque una compañía puede tener previo aviso de un desastre, como un tornado, una inundación o un terremoto, pero un ciberataque dirigido puede ocurrir de improviso", anota McFarland.

Plan de recuperación de desastres Plan de recuperación de seguridad
Objetivo principal Proporcionar continuidad en la empresa después de una interrupción causada por la naturaleza o el hombre. Proteger los activos de seguridad después de una interrupción.
Requerimientos de respuesta Comunicación abierta con las partes interesadas, enfoque en una rápida recuperación de datos. Un enfoque cauteloso que incluye recopilar y preservar evidencias, y análisis de causas en la root.
Diferencias tácticas Una recuperación de datos rápida y eficaz. Controles de protección enfocados a prevenir pérdidas futuras.
Gestión del plan Equipo dedicado que se enfoca en las mejores prácticas y lecciones aprendidas de las experiencias de recuperación de desastres. Equipo dedicado que se mantiene actualizado sobre las nuevas amenazas en ciberseguridad y modifica su plan de acuerdo a ello.

"La naturaleza de las amenazas dentro de los planes de recuperación de seguridad son más dinámicas que en la recuperación de desastres y, por lo tanto, requieren una revisión y actualización continuas", añade Mark Testoni, presidente y CEO de SAP National Security Services. "Por ejemplo, los ataques recientes de ransomware, como WannaCry, son increíblemente destructivos y requieren planes de recuperación de seguridad para examinar cómo responder eficazmente a las nuevas amenazas y riesgos".

El proceso de descubrimiento es el aspecto más importante de la seguridad y la planificación de desastres, anota Bourne. "Los planes deben ser adaptables y los líderes clave deben entender lo que los planes están tratando de lograr para asegurar el máximo éxito", añade.

Haciendo un esfuerzo de equipo

Aunque la mayoría de expertos defienden la creación y el mantenimiento de planes separados de recuperación de desastres y seguridad, también señalan que ambas estrategias deben ser examinadas periódicamente para detectar posibles brechas y conflictos. "El mejor curso de acción para que los planes se complementen es asegurarse de que tiene el mismo equipo trabajando en ambos", señala Steve Rubin, socio en el bufete de abogados de Long Island, NY, Moritt Hock & Hamroff, y copresidente de su grupo de práctica de ciberseguridad. "No solo serán más fuertes y se complementarán, sino que también serán más eficaces y resistentes en el largo plazo".

Sin embargo, Weidner señala que está bien contar con equipos separados a cargo de los planes de seguridad y de desastres, siempre y cuando coordinen sus estrategias y metas con los demás. "Cada equipo, ya sea que soporte la seguridad o la recuperación de TI, necesita administrar sus propios requisitos específicos del plan", indica Weidner. "Sin embargo, la supervisión y la gobernabilidad deben centralizarse para garantizar que los eventos serán apoyados usando la misma metodología, como las comunicaciones a los equipos ejecutivos, a las partes interesadas de la compañía y a los clientes".

Si la planificación es manejada por uno o dos equipos, las personas adecuadas necesitan ser llevadas a bordo, señala Didier. "La alta gerencia juega un papel crítico y debe supervisar la operación", añade.

"El CIO, CISO y los administradores de red serán miembros integrales de ambos equipos", resalta McFarland. Sin embargo, muchos miembros del equipo de recuperación de desastres no tendrán participación, o será limitada, en el trabajo del grupo de seguridad, y viceversa. "Por ejemplo", señala McFarland, "los administradores de instalaciones son miembros críticos de un equipo de recuperación de desastres, pero normalmente no se necesitan en el grupo [de seguridad] a menos que haya una pérdida física o robo de datos tangibles/impresos de una oficina.

Los equipos de operaciones y seguridad deben revisar sus planes entre sí de una manera controlada y constructiva para determinar cómo pueden ser apalancados en apoyo mutuo, sugiere Morey Haber, vicepresidente de tecnología de BeyondTrust. "Estas políticas no deberían desarrollarse en islas y, si es posible, probarse juntas", añade. "Esto ayuda a resolver casos extremos mientras mantiene la separación de los requisitos de deber y la construcción de sinergias de equipo".

Lecciones aprendidas

A medida que las empresas aprenden qué funciona y qué no funciona tanto en la planificación de la seguridad como en la recuperación de desastres, un número cada vez mayor se da cuenta de que la recuperación de la seguridad no es una recuperación de desastres, y que cada uno tiene necesidades muy diferentes. "A medida que las organizaciones maduran, aprenden que el propósito de la respuesta a incidentes de seguridad es mucho más matizado que simplemente una restauración de negocios, y que muchas de las funciones típicamente invocadas en recuperación de desastres para propósitos de continuidad de negocio no son aplicables a eventos de seguridad cibernética, o en algunos casos, son perjudiciales para la respuesta a incidentes de seguridad y labores forenses", anota Merino.

"La clave para tener planes exitosos de seguridad y recuperación de desastres es documentar, administrar, probar planes y desarrollar una metodología común de gobierno, comunicación y escalamiento", añade Weidner. "Este enfoque unificado minimizará la confusión y disminuirá el tiempo para recuperarse de los eventos".