Plan de contingencia en Seguridad Informática

La primogénita y elemental contabilidad que mecanicé allá por el año 1983 la realicé en un primitivo ordenador mastodonte, donde había que meter grandes discos cada ciento y pico de apuntes y siempre con el alma en vilo por si se te iba la información (con qué cara le decía al jefe que había perdido todo el trabajo de una mañana sin tan siquiera saber explicar cómo había ocurrido). En cuanto a los procesadores de textos, gestión de bases de datos y hojas de cálculo, he conocido la prehistoria, el antes, del Wordperfect, el Word, Dbase, Acces, Quatropro, Excel… y luego esos programas con sus innumerables versiones posteriores. Pronto me presentaron el entorno Windows, opción en inglés, con sus desajustes progresivos y gráciles versiones ulteriores programadas.

Mi primer ordenador lo compré en el año 1985 y fue un Amstrad, utilizado, fundamentalmente, como procesador de textos para apuntes de la Universidad y los pinitos en la programación de una agenda y poco más. En 1991 llegó un IBM con una configuración competitiva para aquellos momentos… Así hasta hoy, que os escribo desde un portátil Toshiba. El miedo a perder trabajos y documentos por problemas del hardware o del software ha ido disminuyendo conforme pasan los años, pero todavía me llevo alguna que otra sorpresa desagradable. Hace unos días esperaba de un amigo un archivo adjunto a un e.mail para estudiarlo y emitir opinión profesional. Ayer me llamó diciendo que su equipo informático estaba en la UVI por no sé qué batería de virus y complicaciones de otras basuras de sucesivos programas que ha ido incorporando y acumulando. Lo peor es que no había realizado copia de seguridad del trabajo que me iba a pasar. Lo siento Javi.

Y es que por mucho antivirus que tengamos instalado en el ordenador o contratado con el servidor de Internet, recibimos tal cantidad de correo basura (en inglés spam) que es desesperante. Claro, empiezas a borrar e.mails de forma sistemática y de vez en cuando das de baja un correo que no debías tachar, con lo que te genera nuevos problemas futuros. O lo contrario, abres un correo que no debías abrir y ¡ya está! Infectado. ¿Cómo consiguen mi dirección? Pues con múltiples técnicas, desde cribando mensajes, sisando direcciones en las listas de distribución, obteniéndolas en las bases de datos de los servicios en línea de Internet, escudriñando direcciones, etc. Difícil solución tiene ya que no preexiste forma mecánica de impedirlo. Sí constan fórmulas para disminuir significativamente su recepción. Si estáis interesado en ampliar esta información, sugiero visitéis la página sobre correo basura Criptonomicon.

Insinúo visualicéis también el apartado relativo a la Intimidad, la cantidad de información privada que, de forma inadvertida e involuntaria, estamos revelando a terceros, al hacer uso de Internet. Cada vez que se visita un sitio Web, se suministra de forma rutinaria una información que puede ser archivada por el administrador del sitio. A éste, no le resulta difícil averiguar la dirección de Internet de la máquina desde la que se está operando, la dirección de correo electrónico del usuario, qué páginas lee y cuáles no, qué figuras mira, cuántas páginas ha visitado, etc. A mi amigo le he recomendado que, al menos empresarialmente, disponga de un plan de contingencia en materia de seguridad informática, que es aquél que incluye procedimientos e información que permitan a la empresa la utilización de equipos, paquetes, instalaciones y suministros, recursos de Internet, así como la participación de personas, con el fin de poder funcionar con medios informáticos alternativos y estrategias de flujo de información también alternativas, en el caso de alguna incidencia importante y poder así reanudar las operaciones en un tiempo aceptable, con el fin de garantizar la continuidad de los procesos de trabajo.

Las incidencias pueden ser múltiples: Virus, correo basura, cookies, sabotaje, robo, incendio, cortes importantes de energía eléctrica, inundaciones, ... No debe temerse sólo el desastre total que nos obligue a cerrar, hay pérdidas parciales como la pérdida de imagen ante clientes y empleados. Es necesario analizar los efectos de no poder utilizar los ordenadores en un plazo de segundos, minutos, horas, días...y prever sus soluciones. Según la incidencia, será necesario prever unas soluciones u otras, de distinto coste y/o nivel de sofisticación. La responsabilidad de la existencia de un plan de contingencia es de la cúpula directiva, si bien cuando se produce un desastre casi lo primero que se hace es buscar culpables. Para elaborar un buen plan de contingencia lo primero que se necesita es considerarlo un proyecto con prioridad y reconocer la importancia que realmente tiene, realizar una asignación de recursos suficientes y adecuados, designar un coordinador y asegurar la participación de diferentes áreas de la organización: Usuarios y propietarios de la información; informáticos de diferentes funciones; comunicaciones; seguridad Informática; auditoría informática o consultores especializados con experiencia. El plan debe contar con la aprobación de la Dirección General.

Entre los propósitos que debe comprender el plan de contingencia en materia de seguridad informática, debe estar la previsión de fallos de los equipos, comunicaciones, programas e instalaciones, así como errores y fallos, tanto de las personas como de las aplicaciones. En cuanto a un centro de trabajo alternativo, podrían darse varias opciones: Tener otro centro preparado para adaptarse en horas, en lugar diferente y con una configuración equivalente. Sería la solución ideal pero, debido a su coste, sólo se lleva a cabo en instalaciones muy críticas. Acuerdo con otra entidad, dándose respaldo mutuo. Hay que considerar la carga, porque si la instalación de respaldo tiene una carga alta, difícilmente podría dar respaldo a otra instalación en el caso de emergencia. La tercera opción podría ser mantener un contrato con una entidad que ofrezca ese servicio y que tenga ordenadores para esos casos, como pueden ser los propios fabricantes o grandes empresas de servicios. Es necesario disponer de un inventario de todos los tipos de entrada al sistema, incluidos los propios procesos manuales asociados, y otro inventario de los resultados obtenidos y a quién estás destinados. El plan debe incluir la seguridad de las personas por encima de todo. Y para cuando sea necesario, debe prever existencia de una cadena de mando, procedimientos de evacuación, puntos de encuentro, etc.

Incumbe contener una lista de las aplicaciones más críticas, considerando opiniones de los usuarios, así como el tiempo límite para su reanudación: minutos, horas o días, y bajo qué circunstancias y en qué fechas. Es necesario fijar prioridades. Ha de contener listas de ficheros, bases de datos, y recursos en general que sean críticos, así como los criterios por los que se conservan copias en otro lugar y dónde. Debe hacerse copia de las librerías de los programas (versión objeto y fuente) e incluir el lenguaje de control y, especialmente, el necesario para creación de librerías, recuperaciones y vuelcos de respaldo. La documentación ha de ser completa, exhaustiva, comprensible por personas ajenas al equipo que la preparó y rigurosamente actualizada. El plan debe incluir las direcciones y modo de localización de varias personas claves y de sus sustitutos. En un sitio preferente deben figurar los teléfonos de bomberos, policía, compañías de seguridad, entidades de seguros, compañías de suministros (agua, electricidad...) médicos y hospitales / ambulancias, protección civil, suministradores de los equipos y de los paquetes y de cuantos puedan ser de interés en esos delicados momentos. Imagen incorporada posteriormente; fuente: pixabay.