Consejos para su desastre …



A medida que más organizaciones enfrentan interrupciones, es imperativo un enfoque definido para la recuperación para que puedan recuperarse con éxito, dicen los expertos.

El peor momento para saber que su plan de recuperación ante desastres está desactualizado es cuando ocurre un desastre. A medida que se solicita a más empresas que recurran a planes de recuperación, muchas han aprendido que hay margen de mejora para crear un enfoque definido de recuperación para que puedan recuperarse de los incidentes.

Entre el 70% y el 75% de las organizaciones activaron planes de recuperación en los últimos dos años, dijo la vicepresidenta de investigación de Gartner, Roberta Witty, en una charla durante la Cumbre de Gestión de Riesgos y Seguridad de esta semana. De los 298 que realizaron la recuperación ante desastres de TI, el 23% informa haber abordado un incidente El 22% informa dos 16%, tres 7%, cuatro y el 8% informa al menos cinco eventos.

«Con tantas organizaciones que tienen interrupciones, hasta cinco eventos en los últimos 24 meses, es imperativo tener un enfoque definido para un plan de recuperación para que pueda recuperarse con éxito de todo tipo de eventos», explicó Witty.

Hay varias razones por las que los planes de recuperación empresarial existentes no son eficaces. Muchos de estos planes están desactualizados, por ejemplo, y a menudo las organizaciones carecen del conocimiento de la situación que necesitan para responder adecuadamente a cualquier incidente de seguridad dado.

«Muchas veces, no se tiene suficiente información sobre la crisis genuine», dijo. «Los planes y procedimientos que ha definido no se alinean realmente con lo que está sucediendo en ese momento». Otros problemas incluyen el desarrollo de un system para toda la empresa y la negligencia en el uso de la automatización, sin la cual es más difícil para las empresas alinear, actualizar y usar los planes.

Por supuesto, no existe un plan de recuperación genérico. Cada program tiene que ser específico para la empresa que lo utiliza, agregó, y un plan sólido comienza con un programa y una estructura de gobierno sólidos. Esto significa tomarse el tiempo para detallar cada fase de la gestión de la continuidad del negocio: desarrollo y gobierno del programa, requisitos de recuperación, mitigación de riesgos, desarrollo del plan de recuperación, ejercicios y capacitación del particular, y mantenimiento y gestión del programa.

«No documentar los planes de manera adecuada y con el nivel de detalle apropiado puede llevar a una recuperación demorada o incompleta», dijo Witty.

Ella detalló algunos desafíos clave a los que es possible que se enfrenten las organizaciones al elaborar planes de recuperación ante desastres. La primera es la falta de un fuerte apoyo para la gestión de la continuidad del negocio a nivel ejecutivo. Es posible que los equipos ejecutivos y de negocios no crean que ocurrirá una disaster o se sientan demasiado confiados en su capacidad para manejarla. Si la empresa es grande y compleja, es posible que no comprenda el alcance completo de un program. «Las unidades de negocio piensan que la continuidad del negocio es un problema de TI», añadió.

La solución aquí es definir una estrategia que detalle la responsabilidad de cada ejecutivo en toda la organización. La gestión de una disaster o emergencia, por ejemplo, puede recaer en el director ejecutivo, el presidente o el departamento legal un desastre de TI sería competencia del CIO. Los procesos de contingencia de terceros pueden recaer en adquisiciones.

Otro desafío clave es no tener un marco de prepare de recuperación en su lugar, o tener un strategy de recuperación que sea tan complicado o de alto nivel que sea casi inutilizable, dijo Witty. Los tipos más comunes de planes de recuperación incluyen planes de continuidad del negocio, planes de recuperación ante desastres de TI, planes de contingencia de terceros y planes de comunicaciones y gestión de disaster. Otros incluyen planes para pandemias, planes de regreso al lugar de trabajo o planes de gestión de sucesión.

La cantidad de planes que tiene una organización depende en gran medida de su presencia: ¿es una empresa global o solo tiene una ubicación operativa? ¿Hay varias unidades de negocio o distribución regional del negocio? Todos estos pueden dictar los tipos de planes que son más relevantes.

«Las empresas aún no se toman en serio la recuperación», dijo David Gregory, director senior y analista de la división de seguridad y riesgo de Gartner, en una sesión separada centrada en la gestión de la continuidad del negocio. A medida que más organizaciones dependan de la infraestructura electronic, la necesidad de adoptar un enfoque integrado seguirá creciendo.

«Los líderes en seguridad y gestión de riesgos deberán mirar más allá de las fallas de TI para garantizar que existan estructuras resistentes», dijo Gregory.

Consejos de redacción para el desarrollo del strategy de recuperación
Witty alentó a las empresas a ser «prescriptivas, no narrativas» al redactar planes de recuperación ante desastres. Incluya quién, cuándo y cómo de la forma en que se deben desarrollar los procesos. Incluya secciones para detallar escenarios o peligros específicos que las personas podrían enfrentar si ocurriera un incidente específico.

«No recree los procedimientos operativos estándar», enfatizó. «Un approach de recuperación no consiste en rehacer lo que ya está documentado». Ella sugirió usar gráficos siempre que sea posible, ya que los lectores pueden consumir contenido al ver un gráfico más rápido de lo que pueden leer bloques de texto.

Al escribir procedimientos, evite utilizar datos que puedan cambiar fácilmente. En lugar de referirse a las personas por su nombre, escriba su función. En el apéndice, enumere las personas que ocupan cada puesto como referencia.

Si bien cada plan de recuperación puede verse diferente, los aspectos de la tabla de contenido deben tener el mismo aspecto. Witty recomendó incluir una sección de gestión de documentos para detallar para qué sirve el strategy, un historial de cambios y un glosario de términos. También debe incluir una guía de referencia que defina el alcance y el propósito de los planes, y secciones sobre cómo usar el approach y la descripción basic de la estrategia.

Cada strategy debe tener roles y responsabilidades definidos, junto con una descripción basic de los procedimientos, continuó. Cinco secciones son cruciales: cómo activar el program, cómo responder al evento, cómo recuperarse, cómo restaurar y volver a la producción y cómo desactivar el system.

Es útil tener secciones sobre cómo se mantendrá el strategy y con qué frecuencia se ejecutará. Los apéndices pueden incluir información adicional como mapas y listas de verificación, mapeo de función a persona y listas de proveedores y fuentes confiables para contactar cuando ocurre un incidente.

Witty aconsejó crear niveles de declaración de desastres, algo que «pocas organizaciones hacen bien, y cuando lo hacen bien, realmente marca la diferencia. ¿Cuáles son esos umbrales que te harían tener que declarar una crisis?» Tener un esquema de lo que constituye una disaster reducirá las conjeturas para cuando sea el momento de declarar una emergencia.

Kelly Sheridan es la editora de private de Dim Looking through, donde se enfoca en noticias y análisis de ciberseguridad. Ella es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y Tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial