Está en la página 1de 5

Seguridad preventiva y proactiva:

comparativa entre planes de gestin


POR MIGUEL NGEL MENDOZA PUBLICADO 27 ENE 2015 - 10:58AM
SEGURIDAD CORPORATIVA

0
TAGS

BCP

BIA
DRP
GESTION DE INCIDENTES

GESTION DE LA SEGURIDAD

GESTION DE

RIESGOS

21
inShare

Un enfoque utilizado en la gestin de seguridad de la informacin para la proteccin


de los activos, es el que busca anticiparse a la materializacin de riesgos, intentando
aplicar medidas que permitan evitar o reducir sus consecuencias.
Distintos planes buscan definir la manera en la que el personal de la organizacin
debe actuar en caso de incidentes de seguridad. Conceptos como Business Impact
Analysis, Business Continuity Plan, evaluaciones de riesgo y planes de respuesta a
incidentes afloran en este sentido, en un contexto en el que las brechas de seguridad
en grandes compaas estn a la rden del da.
Pero, cmo saber qu lineamiento se ajusta a cada caso y cul es el adecuado
segn el tipo de compaa? Sin duda, el tamao, los recursos y la cantidad de
personal varan en cada caso, de manera que cada una deber encontrar los
lineamientos a seguir segn sus necesidades.
En este espacio hemos hablado de algunas de estas iniciativas, por lo que en la
presente publicacin vamos a conocer la manera en la que se relacionan los distintos
planes y actividades consideradas en la seguridad preventiva y proactiva, el contexto
en el cual pueden ser utilizados, as como sus principales diferencias. De esta forma,
cada empresa sabr qu lineamientos seguir.

Anlisis de Impacto al Negocio

Ampliamente conocido como BIA (Business Impact Analysis), su principal propsito


consiste en estimar la afectacin que podra padecer una organizacin como
resultado de la ocurrencia de algn incidente o un desastre. Se enfoca en los distintos
tipos de impacto, para identificarqu podra ser afectado y sus consecuencias sobre
los procesos de negocio.
Por lo tanto, en el BIA se deben conocer y priorizar los procesos crticos de operacin
y debido a sus caractersticas, puede ser utilizado como una actividad dentro de un
Plan de Recuperacin ante Desastres (DRP, desarrollado ms abajo). En
consecuencia, tambin puede formar parte de un Plan de Continuidad del Negocio
(BCP), para conocer los elementos crticos priorizados y cmo proceder para su
pronta recuperacin en caso de ser necesario.

Evaluacin de riesgos de seguridad

A diferencia del BIA, la evaluacin de riesgos pretende identificar cmo se vera


afectada una organizacin y sus procesos si se presentara un riesgo. Para lograr este
objetivo, la evaluacin se conforma de otras actividades como la identificacin,

anlisis y valoracin de amenazas de seguridad, con base en su impacto sobre los


activos crticos y su probabilidad de ocurrencia.
De este modo, tanto el BIA como la evaluacin de riesgos se enfocan en conocer el
impacto sobre una organizacin, a diferencia de que el primero intenta conocer lo que
se vera afectado, mientras que el segundo se enfoca en la manera que se podra
presentar esta afectacin negativa.
Con base en los resultados de la evaluacin, es posible definir medidas de seguridad
que permitan opciones de mitigacin, transferencia o aceptacin de los riegos. En
este sentido, ambos pueden formar parte de un DRP, ya que los resultados que
generan son una fuente de informacin para la recuperacin ante desastres.

Plan de Recuperacin ante Desastres

Mejor conocido como DRP (Disaster Recovery Plan), se trata de un plan que tiene
como objetivo la pronta operacin de los procesos sustanciales de una organizacin
en caso de interrupcin, con la particularidad de que se encuentra limitado
nicamente a la infraestructura y procesos crticos de TI. Por lo tanto, puede formar
parte de un plan de mayor alcance, como lo es el BCP.
El objetivo primordial del DRP se centra en restablecer las operaciones
primordiales de una organizacin en caso de alguna contingencia y como ya hemos
mencionado, puede estar precedido de un anlisis de impacto y una evaluacin de
riesgos.
Por un lado, el BIA determinar lo que es crtico y prioritario para la organizacin,
mientras que por el otro la evaluacin de riesgos contribuye a generar las estrategias
de recuperacin ante casos especficos y con mayor probabilidad de ocurrencia, que
pueden afectar de manera negativa las operaciones.
Posteriormente, puede considerar otras actividades como la generacin de estrategias
de recuperacin, capacitacin sobre el plan, pruebas, mantenimiento y mejora del
mismo.

Plan de Continuidad del Negocio

El BCP (Business Continuity Plan) es un plan ms ambicioso con relacin al DRP, ya


que busca la continua operacin de los procesos sustanciales de una organizacin y
no solamente los de Tecnologas de Informacin; por lo tanto, contempla las acciones
que una empresa debe seguir para recuperar y restaurar las actividades crticas del

negocio en un tiempo prudente y posteriormente regresar a la normalidad de manera


progresiva.
Al tener un mayor alcance, se conforma de otros planes que se encuentran alineado
al BCP. En el mbito de TI, lo constituyen el DRP y el Plan de Respuesta a Incidentes
(IRP). Desde la perspectiva de gestin, est conformado por el Plan de Reanudacin
del Negocio (BRP), Emergencia de Ocupantes (OEP) y Continuidad de Operaciones
(COP).
En este sentido, al estar conformado por el DRP, de manera implcita el BCP involucra
el desarrollo de un BIA o una evaluacin de riesgos de seguridad de la informacin,
por lo tanto estas actividades tambin son fuentes de informacin que contribuyen a la
pronta recuperacin y restauracin de actividades en caso de que se presente alguna
contingencia.
Para ms informacin, pueden revisar estos 4 pasos para armar un Plan de
Continuidad del Negocio.

Plan de Respuesta a Incidentes

Por otro lado, el IRP (Incident Response Plan) establece la estructura y los
procedimientos para hacer frente a algn incidente de seguridad de la informacin, es
decir, la manera de actuar ante los diferentes escenarios en los cuales podran estar
expuestos los activos de la organizacin si algn riesgo se materializa.
Debido a la naturaleza de los riesgos, existe la probabilidad de padecer las
consecuencias por algn incidente a pesar de contar con controles de seguridad
implementados y en operacin, por lo tanto se consideran actividades como la
preparacin, identificacin, contencin, erradicacin, recuperacin y finalmente
lecciones aprendidas de las contingencias.
Este plan tambin forma parte del BCP y tambin se relaciona con la evaluacin de
riesgos, ya que a travs de riesgos identificados durante esta valoracin es posible
mitigar distintos incidentes. De forma recproca, la aparicin de nuevos incidentes
permite identificar riesgos previamente no considerados, adems de proporcionar
datos estadsticos que permitan estimar la probabilidad de ocurrencia de los mismos.
El objetivo de este artculo es conocer las principales caractersticas de los planes y
actividades orientadas a proteger los activos de una forma preventiva y proactiva, y
sobre todo entender la forma en la que se interrelacionan y/o retroalimentan, siempre

considerando los elementos crticos de la organizacin, sus objetivos y misin durante


el desarrollo y aplicacin de estos documentos.
De esta forma, cada empresa podr gestionar la seguridad de su entorno segn los
lineamientos que mejor se ajusten.