“Infraestructura para la
seguridad de la información:
plan de contingencia para clínicas de pequeño, mediano y grande porte”
(Tecnología de la Información)
Presentado Por
Rafael Galdino
Contacto
rafael.galdino@hope.com.br
El área de la Tecnología de la Información (TI) ya ha alcanzado el rango de herramienta esencial para apalancar la productividad de cualquier organización. La información que la tecnología nos ofrece se ha convertido en pieza vital para el [buen] funcionamiento del negocio. La información accesible y de calidad impulsa a la empresa a un entorno de alta competitividad.
Hoy por hoy, parte de nuestro mundo es virtual, y quedarse “fuera de sintonía” por algunas horas, minutos o incluso segundos, puede significar pérdidas incalculables, tanto del orden financiero como de daños a la imagen de la institución. Estos últimos son, en muchos casos, los de más difícil recuperación. Con toda esta criticidad del universo de la TI, es extremadamente importante tener un equipo que actúe en la prevención y resolución de problemas en el menor plazo posible.
Debido al continuo avance tecnológico y a la constante actualización de equipos y sistemas, montar el ambiente ideal de TI para una empresa se ha convertido en un reto. Podemos decir que la TI es un pozo sin fondo cuando se trata de inversiones. Esto es porque existen múltiples soluciones con un mismo propósito para presupuestos de los más diversos montos.
Por lo tanto, ¿cómo elegir y saber dónde invertir en TI en la empresa de uno? Un consejo es saber siempre lo que el mercado ofrece, ya sea para las grandes empresas con presupuestos superelevados, como para aquellas cuya capacidad de inversión sea más moderada. A partir de ahí, uno debe intentar cotizar soluciones con distintos niveles de inversión y calidad de los equipos utilizando diferentes proveedores. Debemos recordar que el análisis de todas las propuestas es indispensable para evitar que, en un futuro no muy lejano, una solución de bajo costo no resulte cara si no llegara a corresponder a la realidad en cuestión.
En cuanto a los aspectos de seguridad y contingencia en TI, no debemos contentarnos con solo almacenar nuestra copia de seguridad en un entorno físico externo a la empresa. Debemos hacer mucho más para que, en caso de catástrofes naturales, podamos utilizarlo mediante una recuperación breve. El plan deberá contener procedimientos probados y documentados que se deben seguir al pie de la letra en caso de catástrofes. ¿Cuándo se utiliza? Cuando caen los sistemas inesperadamente. Por lo tanto, siempre debemos tener en cuenta las ventajas que aportan un buen plan de contingencia, que contemple la reducción de pérdidas, la reducción de la exposición de la marca y de cualquier rasguño a su imagen, como también la disminución drástica de los niveles de estrés en casos críticos.
La mayor virtud es disponer de la experiencia necesaria para elaborar y poner rápidamente en práctica un plan que reduzca el impacto de una interrupción en el entorno de tecnología de la empresa. A continuación se presentan cinco pasos para un buen plan de contingencia:
- Observancia por parte de los miembros de los equipos de gestión – Todo equipo de gestión de la organización debe conocer sus responsabilidades y las medidas que cada grupo debe tomar en caso de haber necesidad. Este compromiso es de suma importancia para el éxito del plan.
- Análisis de riesgos y prioridades – Un equipo debe preparar un análisis de riesgos que incluya el impacto en el negocio en caso de catástrofes naturales, técnicas y humanas. Este análisis debe contemplar la seguridad de los registros y la principal información vital para la empresa en caso de daños irreparables. Se deben establecer las prioridades y la criticidad de los departamentos de la empresa, que deben clasificarse como esenciales, importantes y no esenciales. Debe destacarse, principalmente, lo operativo y lo que afecta directamente al cliente.
- Recuperación de catástrofes – Evaluar e implementar una estructura fácil y eficaz para ponerla en práctica, de haber necesidad, teniendo en cuenta la estructura de hardware, software, comunicaciones y servicios. Equipos duplicados con funciones replicadas en modo de stand by son los más comunes. Sus altos costos de contratación y mantenimiento son el mayor obstáculo para dicho uso. Es indispensable llevar a cabo una revisión cuidadosa de estos elementos.
- Documento descriptivo y pruebas – Es esencial disponer de un documento descriptivo con los detalles de los procedimientos que los equipos involucrados deben seguir. También es importante que al menos una vez al año se lleven a cabo pruebas para validar el sistema en su totalidad. Las personas con responsabilidades por la seguridad del sistema cambian a menudo de función o incluso de empresa, por lo que se debe entrenar a sus sucesores para que puedan actuar en caso de haber necesidad.
- Aprobación del plan – Una vez definido y presentado a ejecutivos de alto nivel, el plan debe ser aprobado y actualizado anualmente, puesto que las tecnologías y los procesos internos de las empresas sufren cambios constantes.
Se recomienda que las pruebas de contingencia se efectúen sin preaviso a los empleados de la compañía. Por lo menos cinco personas deben saber que se trata de una “parada” programada con el objetivo de evaluar los procesos y el comportamiento en tiempos de estrés y presión.
A la hora de elaborar el plan de contingencia se debe tomar en cuenta algunos factores externos. ¿Cómo su negocio sobrevivirá a un “apagón”? En caso de una catástrofe natural, ¿cómo mantener o recuperar el funcionamiento de la organización? ¿Cuál es el tiempo previsto para que sus proveedores atiendan a su empresa? Estos son algunos ejemplos que van más allá del mundo de la TI y que requieren una planificación detallada y eficaz.
Por lo tanto, debido a la gran dependencia tecnológica de las organizaciones, estas deben estar preparadas para la situación más crítica: la interrupción en los sistemas de TI. Y, si llegara a ocurrir, los equipos de TI y la Junta Directiva deben tener conocimiento de las medidas necesarias para que la operación se mantenga disponible a sus clientes. En esos momentos, disponer de un plan de contingencia y recuperación de catástrofes bien documentado y debidamente probado es esencial.