👉¿Qué documentos se requieren tener para poder hacer un adecuado Plan de Recuperación de Desastres y Plan de Continuidad?
R: Para poder crear correctamente un Plan de Recuperación ante Desastres y/o un Plan de Continuidad primero se requiere aplicar el análisis y evaluación de riesgos para ya conocer las debilidades en la seguridad y ajustar las estrategias de recuperación a ello.
Para esto, se requiere seguir un flujo específico al hacer otras actividades:
Metodología de Gestión de Riesgos (actividad 11 del plan de acción de Hackmetrix).
Inventario de activos de información (actividad 12 del plan de acción de Hackmetrix).
Matriz de Riesgos (actividad 13 del plan de acción de Hackmetrix).
Declaración de aplicabilidad (actividad 14 del plan de acción de Hackmetrix).
Plan de Recuperación ante Desastres (actividad 33 del plan de acción de Hackmetrix).
Plan de Continuidad (actividad 34 del plan de acción de Hackmetrix).
Así como también es importante ya contar con un procedimiento de gestión de backups documentado y, preferentemente implementado para conocer la periodicidad con la que se realizan las copias de seguridad. Esto debe estar alineado con el RPO (Recovery Point Objective), que corresponde al tiempo de pérdida de datos real que la empresa puede tolerar.
👉¿Cuál es la diferencia entre las incidencias de seguridad y la recuperación ante desastres?
R: Un incidente de seguridad es cualquier evento que puede afectar la confidencialidad, integridad o disponibilidad de la información, por ejemplo; que te roben la contraseña, que te hackeen, que filtren datos sensibles, etcétera. Mientras que la recuperación ante desastres son las acciones que vas a realizar para recuperar sistemas o servicios caídos a causa de una situación de crisis.