NAKIVO > Blog > Multiplatform

Evaluación del impacto de los riesgos en la recuperación ante desastres: Por dónde empezar

Actualizado: mayo 6, 2024

Written by: NAKIVO Team

Evaluar los riesgos es uno de los primeros pasos necesarios para encontrar la forma de reducirlos y, por tanto, mantener a salvo su infraestructura. La creación de un plan eficaz de recuperación ante desastres comienza con la búsqueda de posibles amenazas y vulnerabilidades de los elementos de su infraestructura, así como de las formas de responder a ellas. La evaluación de riesgos no es un proceso puntual. Debe actualizar periódicamente sus políticas de evaluación de riesgos, especialmente si gestiona una infraestructura en constante cambio. Nuestro artículo pretende explicar la importancia de la evaluación del impacto del riesgo en la planificación de la recuperación ante desastres y ofrecer información básica sobre cómo se realiza dicha evaluación.

Ensure Availability with NAKIVO

Ensure Availability with NAKIVO

Meet strict requirements for service availability in virtual infrastructures. Achieve uptime objectives with robust DR orchestration and automation features.

DISCOVER SOLUTION

Evaluación del impacto de los riesgos: Conceptos relacionados

La evaluación de riesgos es un elemento importante tanto en la planificación de la recuperación ante desastres (RD) como en la de la continuidad de la actividad (CB). Aunque explicar en detalle la RD y la BC requeriría dos entradas de blog separadas, a continuación se ofrece un breve resumen de ambas prácticas:

  • El plan de recuperación ante desastres es un documento que contiene un algoritmo bien definido de las medidas que deben tomarse si se produce un incidente. Su objetivo es simplificar la recuperación de los efectos negativos que ha traído consigo el incidente. Las instrucciones esbozadas en un plan de RD tienen por objeto ayudar a su empresa a mantener o reanudar rápidamente las operaciones críticas, manteniendo así al mínimo el tiempo de inactividad.
  • El plan de continuidad de negocio hace referencia a un conjunto de acciones destinadas a prevenir posibles amenazas y a la recuperación tras los incidentes a los que se enfrenta su empresa. La idea clave es asegurarse de que los empleados y activos de su empresa estén protegidos y puedan reanudar su actividad en caso de catástrofe. Un plan de BC es más amplio que un plan de RD: su objetivo es garantizar que la empresa siga funcionando tras una catástrofe, mientras que un plan de RD está diseñado para mitigar rápidamente los efectos negativos de esta última.

La evaluación de los riesgos y de todas las vulnerabilidades potenciales a las que puede estar expuesta su empresa se realiza antes de poner en marcha un plan de RD. Una buena práctica es iniciarlo justo después de realizar un análisis de impacto en el negocio (BIA), otro elemento importante de una estrategia de RD, cuyo objetivo es identificar las posibles consecuencias si se interrumpe alguna de sus funciones o procesos empresariales.

La evaluación del riesgo de recuperación ante desastres es un documento que contiene una descripción de los riesgos potenciales para el funcionamiento de una organización. Abarca tanto las catástrofes naturales como las provocadas por el hombre y calcula la probabilidad de que se produzca cada una de ellas. A continuación, los resultados de la estimación se multiplican por las consecuencias de un incidente. El valor que recibe define el nivel de protección de su organización frente a una amenaza determinada. Algunos de los temas básicos que el documento debe destacar son los siguientes:

  • Daños potenciales que puede causar el incidente;
  • Cantidad de tiempo y esfuerzo necesarios para mitigar los efectos del incidente & costes asociados;
  • Medidas preventivas para reducir los riesgos de catástrofe;
  • Instrucciones para reducir la gravedad de un incidente.

La evaluación de los riesgos es un proceso que lleva mucho tiempo y requiere tanto habilidades como atención al detalle. Al preparar este documento, es mejor seguir las directrices, prestar atención a las herramientas de evaluación de riesgos y descargar un ejemplo de evaluación de riesgos de recuperación ante desastres para comprenderlo mejor.

Cómo realizar una evaluación del impacto de los riesgos

Por lo general, el proceso de realización de una evaluación del riesgo de recuperación ante desastres incluye los pasos que se describen a continuación. Dependiendo de las necesidades de su organización, puede incluir pasos adicionales u omitir algunos de los que se enumeran.

  1. Lista de activos

Definir los activos más valiosos para su organización es el primer paso para protegerlos. Activos es un término bastante amplio que puede incluir servidores, sitios web y aplicaciones, información de la base de clientes, bases de datos, documentos en papel o electrónicos, etc., e incluso miembros clave del equipo.

Para hacer frente a esta tarea, considere la posibilidad de crear un cuestionario. Es importante recibir opiniones no solo de los principales directivos y jefes de departamento, sino de todos los empleados de la empresa. Esto puede ayudarle a darse cuenta de cosas que podría haber pasado por alto. Empiece a documentar los riesgos y amenazas específicos de cada departamento.

  1. Identificar los riesgos

En concreto, debe definir qué puede afectar exactamente a cada uno de sus activos y de qué manera. Esto incluye software, hardware, datos y empleados. Asegúrese de seguir un planteamiento integrado que aborde la mayor variedad posible de formas de catástrofe. Estos son:

  • Catástrofes naturales. Aunque su infraestructura esté situada en una zona con pocas probabilidades de sufrir huracanes o terremotos, no puede ignorar la posibilidad de incendios y roturas de tuberías de agua. Téngalo en cuenta a la hora de decidir dónde colocar sus servidores.
  • Fallo del sistema. La probabilidad de fallo depende de la calidad de su equipo informático y del esfuerzo de mantenimiento por su parte. Siempre existe el riesgo de que una máquina se apague y deje de funcionar sin avisos ni mensajes de error. Además, el fallo del sistema puede deberse a problemas graves de software, como una mala línea de código, por ejemplo.
  • Error accidental. Formar a sus empleados, dejarles tiempo suficiente para descansar, aplicar protocolos de seguridad y otras medidas preventivas no eliminan por completo los riesgos de error humano. Algunos de sus empleados pueden borrar involuntariamente un archivo importante, hacer clic en un enlace con malware o dañar accidentalmente un equipo.
  • Actividades maliciosas. Este grupo de riesgos adopta diversas formas, desde los tradicionales ataques de piratas informáticos contra sus datos hasta las amenazas internas, como el abuso de credenciales y la alteración o el daño intencionados de los datos.
  1. Encontrar los puntos vulnerables

Es importante identificar los puntos débiles que pueden ser explotados para obtener o dañar los activos de su empresa. Para realizar una acción no autorizada, un atacante necesita un vector de ataque (es decir, un método) que pueda aplicarse en un intento de explotar la debilidad de un sistema. La suma de estos vectores de ataque en su infraestructura de TI se conoce como superficie de ataque. La idea clave es reducir al mínimo la superficie de ataque.

Asegúrese de evaluar la probabilidad de explotación de la vulnerabilidad. Este es el primer paso para priorizar los fallos de seguridad y asignar recursos para eliminarlos. Según las estadísticas basadas en el Common Vulnerability Scoring System (CVSS), una norma del sector para evaluar la gravedad de las vulnerabilidades, los fallos de gravedad alta se aprovechan en la mayoría de los casos. Sin embargo, no es una regla sin excepciones.

  1. Evaluar las posibles consecuencias

Realice un análisis del impacto del riesgo para determinar las pérdidas económicas que puede sufrir su empresa si alguno de sus activos resulta dañado. Además de la pérdida de ingresos, las consecuencias potenciales pueden incluir la pérdida de datos, daños a su entorno informático como resultado del tiempo de inactividad, daños a la reputación y problemas legales. Tenga en cuenta que las pérdidas superficiales pueden ser sólo el principio. Un incidente puede acarrear costes ocultos asociados a las relaciones públicas y las investigaciones, así como subidas de las primas de seguros y honorarios de abogados.

risk impact assessment

  1. Priorizar los riesgos

Definir el nivel de riesgo para cada par de amenaza y vulnerabilidad. Base su evaluación en una combinación de dos factores: la probabilidad de explotación de la vulnerabilidad y las consecuencias potenciales que puede tener este incidente. Intente estimar cuántos ingresos puede perder su empresa como consecuencia del evento de riesgo.

La priorización debe basarse en la correlación entre el nivel de impacto y la probabilidad de que se produzca un incidente determinado. Si el incidente puede tener graves repercusiones negativas y es muy probable que ocurra, el asunto debe recibir la máxima prioridad. A cada una de las amenazas debe asignársele un valor respectivo, desde «muy alto» (alta probabilidad de riesgo en una combinación con pérdidas monetarias significativas) hasta «muy bajo» (baja probabilidad y daños insignificantes).

  1. Documentar los resultados

El último paso en la realización de una evaluación del impacto del riesgo es preparar un informe o documento que abarque todas las estimaciones mencionadas. Más adelante, este documento puede ayudarle con la planificación presupuestaria, la asignación de recursos, la aplicación de políticas de seguridad, etc. Se supone que el documento describe las vulnerabilidades, el impacto potencial y la probabilidad de ocurrencia de cada amenaza. Para comprenderlo mejor, vea un ejemplo a continuación:

Amenaza Vulnerabilidad Activo Impacto Probabilidad Riesgo Precauciones
Sobrecalentamiento en la sala de servidores (fallo del sistema) – Alto El sistema de aire acondicionado es antiguo y está mal mantenido – Alto Servidores – Críticos Los servicios, sitios web, aplicaciones, etc. no estarán disponibles durante unas horas – Crítico La temperatura en las salas de servidores es de 40 C – Alta Pérdidas económicas sustanciales por cada hora de inactividad – Alta Adquirir un nuevo aparato de aire acondicionado & garantizar un mejor mantenimiento

Nada más empezar, conocerá mejor las operaciones y procesos de su organización, así como las formas de optimizarlos. Basándose en la evaluación del impacto del riesgo, cree una política que regule el alcance de las acciones que su empresa debe emprender cada mes, cada trimestre o anualmente. Trate de determinar cómo debe abordarse y mitigarse cada una de las amenazas, y cuándo llevar a cabo la posterior evaluación de riesgos.

Prepárese con antelación

Ignorar la importancia de preparar un informe exhaustivo de evaluación de riesgos es uno de los riesgos más comunes de la recuperación ante desastres. Este informe es una ayuda probada para reducir la probabilidad de que se produzca un incidente, mitigar sus efectos negativos y mantener el tiempo de inactividad al mínimo.

Por ejemplo, hacer backups regularmente y almacenar copias de backups externas es una práctica inteligente que garantiza la recuperabilidad de sus datos en una amplia gama de escenarios, desde el borrado accidental hasta la destrucción total de una sala de servidores. Además, con una réplica válida en su lugar, puede recuperarse de un desastre en tan sólo unos clics.

NAKIVO Backup & Replication ofrece una amplia gama de herramientas y funciones para ayudarle a hacer backups y replicar sus cargas de trabajo. A continuación encontrará un breve resumen de nuestras funciones:

Backup de datos

  • Haga backup de cargas de trabajo virtuales, físicas y en la nube.
  • Recupere al instante archivos, carpetas y objetos de aplicaciones directamente desde backups comprimidos y deduplicados. Puedes recuperar los datos en el origen o en una ubicación personalizada. La función funciona tanto en LAN como en WAN, y se restauran todos los permisos de los archivos.
  • Envíe copias de sus backups externas para asegurarse de que nunca se pierdan como resultado de un borrado accidental, corrupción, fallo de disco, ciberataque o cualquier otro evento imprevisto.

Replicación de máquinas virtuales

  • Cree copias idénticas, también conocidas como réplicas, de máquinas virtuales basadas en VMware, Hyper-V y AWS EC2.
  • Reanude sus operaciones críticas de negocio casi al instante mediante la conmutación por error a una réplica de máquina virtual. Dicho de otro modo, puede recuperar una máquina virtual afectada por un fallo de software o hardware en unos pocos clics.
  • Haga replicación desde los backups para descargar su entorno de producción y ahorrar tiempo, lo que es especialmente importante en grandes infraestructuras informáticas.

Para garantizar la mínima pérdida de datos y reducir el tiempo de inactividad, prepárese con antelación. Juntos, NAKIVO Backup & Replication y un informe adecuado de evaluación del impacto de los riesgos pueden ayudarle a proteger su entorno de una amplia gama de escenarios inesperados.

Try NAKIVO Backup & Replication

Try NAKIVO Backup & Replication

Get a free trial to explore all the solution’s data protection capabilities. 15 days for free. Zero feature or capacity limitations. No credit card required.

Try for Free

Artículos recomendados

Picture
Análisis de registros de VMware para solucionar problemas
Picture
Recuperación ante desastres en la computación en nube: Todo lo que necesita saber
Picture
Prácticas recomendadas de seguridad de Microsoft OneDrive