Telecom

Presentamos Infordisa Telecom, la operadora de las empresas.

Dado el éxito y recorrido de nuestra división de comunicaciones, hemos redefinido la imagen y publicado nuevas soluciones como la integración con Microsoft Teams y las infinitas posibilidades que nos permite el desenvolupamet a medida.

Descubre una mejor manera de comunicarte con Infordisa Telecom.

Modificación inminente del ENS

Reciente publicado el borrador del Proyecto de Real Decreto de modificación del RD 3/2010 en el que se regula el Esquema Nacional de Seguridad, que a pesar de haber tenido una revisión en el 2015, ésta estaba ya bastante desfasada, desde Infordisa hemos decidido hacer una serie de artículos en el que analizaremos la nueva ley en profundidad.

Logo de esquema nacional de seguridad

En este primer artículo hablaremos sobre cómo la inminente modificación de la ley aclara el cómo repartir los diferentes Roles y Responsabilidades en la Entidad, ya que es uno de los temas que más dudas genera la hora de establecer las bases de nuestro SGSI (Sistema de Gestión de Seguridad de la Información) en las entidades con menos pocos recursos como Ayuntamientos de menos de 20.000 habitantes o los Consejos Comarcales.

El Artículo 11 habla sobre la Diferenciación de Responsabilidades de seguridad:

Citamos textualmente:

Artículo 11. Diferenciación de responsabilidades.

1. En los sistemas de información se diferenciará el responsable de la información, el responsable del servicio, el responsable de la seguridad y el responsable del sistema.

2. La responsabilidad de la seguridad de los sistemas de información estará diferenciada de la responsabilidad sobre la prestación de los servicios.

3. La política de seguridad de la organización detallará las atribuciones de cada responsable y los mecanismos de coordinación y resolución de conflictos.

Ahora si, el punto 1 se hace referencia al responsable del sistema, que en la antigua ley RD 3/2010, no salía en el artículo 10: Seguridad como funciones diferenciadas, donde sólo hablaba del Responsable de la Información, Responsable del Servicio y Responsable de la Seguridad. Al aparecer en este artículo indica implícitamente la obligatoriedad de hacer el nombramiento correspondiente, lo que al no aparecer en la antigua versión de la ENS, quedaba en el aire sobre si era obligatorio designarlo o no.

El punto 2, indica que la figura de responsable de seguridad estará diferenciada del responsable de la prestación del servicio (responsable del sistema). Esto, a priori, puede parecer que «complica» las cosas a las administraciones pequeñas y con pocos recursos, donde sólo suele haber una sola persona al frente de las tareas de IT, donde si asume ambas responsabilidades, entraría en claro conflicto con este artículo. No obstante, el artículo 13, nos vuelve a aclarar situaciones como ésta. Citemos de nuevo:

Artículo 13. Organización e implantación del proceso de seguridad

(…)

2. La política de seguridad, en aplicación del principio de diferenciación de responsabilidades a que se refiere el artículo 11 y según se detalla en la sección 3.1 del Anexo II de este real decreto, deberá identificar inequívocamente a los responsables de velar por su cumplimiento y ser conocida por todos los miembros de la organización, distinguiendo los siguientes roles:

a) El responsable de la información determinará los requisitos de la información tratada.
b) El responsable del servicio determinará los requisitos de los servicios prestados.
c) El responsable de seguridad determinará las decisiones para satisfacer los requisitos de seguridad de la información y de los servicios, supervisará la implantación de las medidas necesarias para garantizar que se satisfacen los requisitos y reportará sobre estas cuestiones.

Hasta aquí no indica nada nuevo que no se haya desarrollado en la guía CCN-STIC 801, pero está bien que quede bien especificado en la ley en un artículo. Seguimos:

d) El responsable del sistema, por sí o a través de recursos propios o contratados, se encargará de desarrollar la forma concreta de implementar la seguridad en el sistema, de la supervisión de la operación diaria del mismo pudiendo delegar en administradores u operadores bajo su responsabilidad.

Este punto aclara que en caso de no poder disponer de recursos propios (personal) se podrá externalizar esta responsabilidad a una empresa externa a través de contratación de este servicio, siendo estos los encargados de implementar la seguridad establecida (que previamente habrá decidido el responsable de Seguridad), y de la supervisión en la operación diaria. Hay que matizar que dada la ley de contratación del sector público, si se recurre a externalizar esta figura, se deberá licitar el servicio para la duración que se decida.

3. El responsable de la seguridad será distinto del responsable del sistema, salvo en aquellas situaciones excepcionales en las que la ausencia justificada de recursos haga necesario que, de manera temporal, ambas funciones recaigan en la misma persona.

Una vez más, recalca que la figura del responsable de seguridad será diferente a la del Responsable del Sistema, pero esta vez «flexibiliza» el incumplimiento del artículo 11 que comentábamos antes, permitiendo que en situaciones en entidades pequeñas con recursos limitados, de forma excepcional, justificada y de manera temporal (y recalcamos temporal), estas figuras pueden recaer sobre la misma persona. Es muy probable que el Auditor que venga a certificar nuestro SGSI, en la primera auditoría nos lo pase indicando que habrá que resolverlo antes de la próxima auditoría externa (bianual).

4. Una instrucción técnica de seguridad regulará el Esquema de Certificación de Responsables de la Seguridad, que recogerá las condiciones y requisitos exigibles en esta figura.

Este punto se fuerza sorprendente, ya que indica por primera vez que la figura del Responsable de la Seguridad estará Regulada mediante una ITS (Instrucción Técnica de Seguridad), y es más que probable que al igual que ocurre con el DPD, esta figura deberá estar Certificada (CISO) por alguna entidad externa (ENAC, Ecouncil, IQNet, AENOR…), obligando así que esta figura, que tiene la responsabilidad de determinar los requisitos de seguridad, supervisar la seguridad y en definitiva, «dirigir la batuta» del SGSI, esté bien formado y preparado para garantizar la seguridad y bienestar de los sistemas de la información de la entidad.

5. En el caso de servicios externalizados, salvo por causa justificada y documentada, la organización prestataria de dichos servicios deberá designar un POC (Punto o Persona de Contacto) de Seguridad de la información, que cuente con el apoyo de los órganos de dirección, y que canalice y supervise, tanto el cumplimiento de los requisitos de seguridad del servicio que presta o solución que provea, como las comunicaciones relativas a la seguridad de la información, así como la gestión de los incidentes para el ámbito del servicio que provea.

Este POC de seguridad, será el propio Responsable de Seguridad de la organización contratada o formará parte de su área o tendrá comunicación directa con la misma. Todo ello sin perjuicio de que la responsabilidad última resida en la entidad del sector público destinataria de los citados servicios.

Este punto habla bastante por sí solo, y es bueno que se tenga que indicar cuáles serán los puntos de contacto con los responsables de seguridad de los servicios externalizados y establecer la metodología de comunicación para garantizar el cumplimiento de la seguridad en los servicios prestados. También da a entender la posibilidad de externalizar la figura del responsable de seguridad, aunque la responsabilidad última recaiga en la propia entidad. Si contextualizamos estos dos puntos con otras leyes de este 2021 como es la 43/2021 en el que entre otras cosas establece las funciones del Responsable de la Seguridad de la Información en las empresas de servicios esenciales, es probable que obtengamos pistas sobre cómo irá esta Instrucción técnica de Seguridad que hace referencia el punto 4.

A Infordisa disponemos de consultores y técnicos especializados, certificados y con gran experiencia para poder asumir tanto la figura de Responsable de la Seguridad como la figura de Responsable del Sistema y al mismo tiempo garantizar el artículo 11: Diferenciación de Responsabilidades. Puede ponerse en contacto con nosotros ya sea a través del siguiente formulario o de uno de nuestros comerciales de Infordisa para obtener más información sobre estos servicios.

¿Necesitas ayuda con el ENS?

    Nuevo windows 365
    9 consejos navegar seguro

    9 consejos para navegar seguro

    Hoy, 17 de mayo, día Internacional de Internet, queremos compartir contigo algunos consejos para que tu navegación sea segura y poder evitar riesgos.

     

    1

    Concienciación

    Todos somos víctimas potenciales. Cuando accedemos a Internet, debemos tomar conciencia de los riesgos a los que nos exponemos. Es fundamental ser cuidadoso y precavido con las páginas que visitamos y los archivos que descargamos.

     

    2

    Certificado de seguridad

    Todas las transacciones deben realizarse con certificado de seguridad HTTPS. Navegar y hacer compras en sitios web que utilizan estos certificados, proporciona una capa más de protección, ya que los datos se transmiten de forma cifrada.

     

    3

    Evitar el Phishing

    No muerdas el anzuelo! Asegúrate de que el link al que accedes o que el remitente del correo son los que realmente fingen ser. No introduzcas datos si tienes alguna duda. Y recuerda que tu banco nunca te solicitará datos vía email.

     

    4

    Precaución con los correos

    Es una de las principales vías de recepción de malware y virus. Desconfía de mensajes o archivos adjuntos de direcciones desconocidas, o de correos que tú no hayas solicitado.

     

    5

    Un buen antivirus

    Un buen software de seguridad, y mantenerlo siempre actualizado, es una de las principales medidas que se pueden tomar para evitar ser víctimas de un ciberataque.

     

    6

    Seguridad en todos tus dispositivos

    Con el auge de la Internet de las Cosas (Iot), debemos hacer extensible la seguridad en todos los dispositivos conectados, relojes, Smart TV, consolas, etc. Asegúrate, al adquirir tu nuevo dispositivo, que está creado desde Security by Design, esto te garantizará que incorpora medidas de protección y que ha sido desarrollado con componentes seguros y correctamente auditadas.

     

    7

    Actualización del software

    Tanto del Sistema Operativo como del resto de aplicaciones / software. También hay que estar pendiente de la discontinuidad del soporte de este software, con el fin de buscar alternativas que nos garanticen la seguridad.

     

    8

    Equipos y wifis de confianza

    Las compras, las transacciones bancarias y demás temas importantes, es mejor realizarlos siempre desde dispositivos y redes de confianza.

    9

     Nuevas soluciones de seguridad

    La ciberseguridad evoluciona constantemente para dar respuesta a las nuevas amenazas. Las organizaciones deben ser especialmente proactivas en la incorporación de los últimos avances en tema de seguridad. Debemos incorporar continuamente las nuevas soluciones.

     

    Calendar

    Qué es Nimble Storage?

    Es un servicio de enlace que transforma las operaciones con inteligencia artificial (IA) que previene y resuelto los potenciales errores, y optimiza automáticamente el rendimiento y los recursos de las aplicaciones. Evitando el impacto negativo en las empresas.

    HPE Nimble Storage ofrece al cliente una experiencia líder en la industria.

    Aquí tenéis algunos de los motivos para que los clientes están satisfechos:

     

    1

    Inteligencia artificial: HPE Nimble Storage ofrece un análisis en el que predice y previene los problemas antes de que pasen. Mediante el aprendizaje automático avanzado de HPE InfoSight, el 86% de los clientes antes de que se den cuenta que tienen un problema ya lo tienen resuelto. HPE InfoSight elimina las conjeturas de la gestión de almacenamiento, e indica cómo poder mejorar su rendimiento, optimizar sus recursos y planificar el futuro. Con su portal basado en la nube facilitando el beneficio de su inteligencia.

     

    2

    Apoyo predictivo con acceso directo a nivel 3: El soporte para capas, que suelen ser los modelo típicos, suelen tardar mucho tiempo para resolver problemas. La automatización ha permitido que HPE Nimble Storage elimine las frustrantes y largas escaleras eliminando el nivel 1 y 2 y proporcionando directo a los expertos a nivel 3 de HPE Nimble Storage. Todo esto permite tener un 73% menos de tickets de soporte y un 85% menos de tiempo dedicado a resolver tickets relacionados con el almacenamiento y un 69% más rápido en resolver problemas que necesitan un Nivel 3.

     

    3

    Experiencia sin esfuerzo: HPE Nimble hace que sea muy fácil para cualquier TI comprar, instalar, operar y actualizar. Incluso el cliente puede autoinstalar el sistema en pocos minutos. Esta experiencia del usuario sin esfuerzo en el almacenamiento significa que el cliente asigna menos recursos y tiempo en la gestión de HPE Nimbloe Storatge. Esto significa que el 79% menos de servicio TI. SI se quiere dedicar menos tiempo a la gestión del almacenamiento y en la extensión de incendios, la solución es HPE Nimble Storatge.

     

    4

    Una inversión preparada para el futuro. Con Timless Storage para HPE Nimble Storatge, se puede disfrutar de una experiencia de propiedad única, ayudando a eliminar sorpresas y mejorando la protección de la inversión a largo plazo. El programa incluye una garantía de satisfacción, de disponibilidad de los seis nuevos, una garantía de reducción de datos, software todo incluido, precios fijos de soporte y actualizaciones controladas.

     

    5

    Escala fácilmente sin interrupciones: Con HPE Nimble Storatge puedes aumentar la capacidad y el rendimiento de un sistema en funcionamiento independiente y sin interrupciones. También se puede escalar horizontalmente hasta 4 Nimble con movilidad de volúmenes transparentes entre ellas, consiguiendo un rendimiento lineal y un escalado en la capacidad.

     

    6

    Habilita la nube híbrido. El tejido flash multicloud de HPE Nimble Storatge amplía de forma inteligente los servicios de datos entre el almacenamiento local y la nube pública de HPE. Infosight automatiza la gestión del almacenamiento a través de un sistema operativo común e integrado que permite la movilidad de datos sin problemas entre las instalaciones físicas y la nube. Esto libera una variedad de casos de uso híbridos y multicloud, incluyendo la migración bidireccional y datos y cargas de trabajo, DR o Backups rentables en la nube, pruebas / desarrollo y análisis híbridos, y pipelines devops CI / CD rápidos multicloud para cargas de trabajos entre contenedores.

     

    7

    Disponibilidad de los seis nuevos garantizados. Esta demostrado que HPE Nimble Storatge tiene una disponibilidad del 99.9999% en toda su base instalada y la garantía para cada cliente y cada array. Y que mejora con HPE InfoSight que previene y predice los problemas antes de que se de cuenta el cliente.

     

    8

    Integridad y durabilidad externa de los datos, sin concesiones: HPE Nimble Storage ofrece RAID de triple paridad como estándar con 0 impacto en el rendimiento, lo que resulta enormemente mes resiliente que RAID 5 o 6. HPE Nimble Storage Triple Parity + RAID puede soportar 3 errores de discos simultáneos y proporcionar protección adicional a través de la intra-paridad del propio disco. La arquitectura de nueva generación de HPE Nimble Storage significa que los clientes no necesitan elegir entre la resiliencia de datos y el rendimiento.

     

    9

    Consumir almacenan como servicio: HPE Nimble Storatge con HPE GreenLake es un servicio gestionado por el usuario con un modelo de pago por uso y de esta manera permite que el equipo se centre en la innovación. Puede mejorar el tiempo de obtención de beneficios para implementar sus aplicaciones y evitar la inversión inicial y el exceso de suministro, así como alinear fácilmente el flujo de caja con el uso mientras mantiene la visibilidad y el control de sus datos.

     

    10

    Experiencia HCI: HPE Nimble Storatge con dHCI es una plataforma inteligente que descarga la computación y el almacenamiento, además de integrar el control hipercovergent para una gestión sencilla. HPE InfoSight y HPE Nimble Storatge dHCI ofrecen a la empresa la máxima simplicidad en entornos virtualizados siempre activos y eficiencia en recursos.

     

    11

    Reduce y simplifica el coste de la protección de datos: Servicio de recuperación con copia de seguridad y recuperación sencilla, rápida e integrado, tanto las instalaciones como en la nube. Replique de forma nativa desde modelos HPE Nimble Storage All Flash en modelos híbridos o en HPE Cloud Volumes para un DR de menor coste. Puede migrar fácilmente su infraestructura de backup en la nube con HPE Cloud Volumes Backup

     

    12

    Cliente contento año tras año: Los administradores de TI y los clientes se han manifestado sobre cómo se simplifican sus demandas empresariales y eleva su experiencia de usuario gracias a las capacidades de HPE Nimble Storage. Su simplicidad radical y su transformación de la experiencia de apoyo ha dado como resultado una calificación general de 4,8 sobre 6 estrellas en el Garnter Peer Insights con clientes que obtienen un valor mejorado de sus datos en un amplia gama de casos de uso que soportan aplicaciones críticas para el negocio.

     

    Para más información contacte con nosotros y estaremos encantados de ayudarle.

     

    microsoft-viva-infordisa

    El teletrabajo ha crecido de forma exponencial desde hace casi un año y ha cambiado nuestra forma de trabajar de manera irreversible.

    Hemos participado en el experimento de trabajo remoto de escala más grande que el mundo ha visto nunca. A medida que el mundo se recupera, no hay marcha atrás. Flexibilidad en cuando, dónde y cómo trabajamos será clave.

    Esto ha hecho que cada vez surjan más propuestas y recursos para mejorar el teletrabajo, en gran parte de la mano de herramientas como el paquete Microsoft 365 o Teams. Es este último, el que presenta una novedad destacada que aportará una nueva revolución en la comunicación interna de la empresa: Microsoft Viva.

    ¿Qué es Microsoft Viva?

    Microsoft Viva se basa en el poder del Teams y Microsoft 365 para unificar la experiencia de los trabajadores en cuatro áreas clave: compromiso, bienestar, aprendizaje y conocimiento, en una experiencia integrada que permite a las personas trabajar lo mejor posible.

    Los módulos de Microsoft Viva:

    Inicialmente presentan cuatro módulos que se organizan en función de temáticas:

    1. Connections

    La comunicación teletrabajando es clave, ya que al no estar en el mismo espacio físico cuesta sentirse conectado con el resto del equipo. Este módulo reúne el chat y los mecanismos de comunicación interna de la empresa, y permite comunicarse con los compañeros y compartir recursos, basado en la tecnología SharePoint.

    2. Insights

    Este módulo analiza el estilo de trabajo de cada persona para ofrecerle recomendaciones para potenciar su productividad. También tienen acceso los responsables de la empresa y pueden analizar las estadísticas de los trabajadores. Microsoft ha asegurado que la privacidad del usuario queda garantizada.

    3. Learning

    El tercer módulo combina el contenido de Microsoft Learn y LinkedIn Learning. Desde aquí los trabajadores podrán formarse a través de cursos y contenido, ya sea de su propia empresa como de terceros. La formación es importante y es un valor para el trabajador.

    4. Topics

    Y el último es una especie de Wikipedia de la empresa para organizarse. A través de inteligencia artificial que analiza la información de los usuarios, este módulo localiza documentos, vídeos, personas y tarjetas recomendadas con diferentes temas que pueden ser interesantes.

    La red social de la empresa

    Durante el año pasado, más de 115 millones de usuarios usaron Microsoft Teams.

    La nueva realidad laboral causada por la pandemia, ha hecho que Microsoft haya aprovechado para sacar Microsoft Viva. Con esta solución busca centralizar todas sus herramientas que tiene en el mercado y unificarlas en una sola plataforma para que los trabajadores tengan una óptima experiencia durante su jornada laboral.

     

     

    Microsoft Viva ya está disponible y durante el 2021 irán llegando nuevas funcionalidades.

    trabajo-covid-infordisa

    Antes de la pandemia sólo 2 de cada 10 trabajadores tenían la opción de teletrabajar y sólo el 4% de empresas disponían de sistemas e infraestructura preparada para realizar teletrabajo.

    Desde marzo debido a la COVID comenzó a implementarse el teletrabajo de forma rápida y con muy poca organización, y muchas empresas no pensaron lo suficiente en la ciberseguridad. Debido a esto ha crecido la ciberdelicuencia exponencialmente.

    Por eso tenemos que garantizar que nuestros datos estén seguras estemos en la oficina o teletrabajando. Hay que basarse en filosofía «cero-trust» o tolerancia cero, que significa que todo lo que no tengamos a nuestro control lo tenemos que tratar como una amenaza. Y debemos pensar que la seguridad es como una cebolla, que tiene muchas capas y que serán los obstáculos de nuestros atacantes, en caso de que una falle habrá otros que evitarán que accedan a nuestra información.

    A continuación, te ofrecemos 10 tips muy sencillos para mejorar la seguridad de sus datos en tiempo de teletrabajo.

    1. Seguridad perimetral Firewall. Que detecte y bloquee comportamiento sospechoso, y tenerlos siempre actualizados y bien configurados.
    2. Antivirus. Es importante tener uno y actualizado. Es interesante que tu equipo de TI o tu proveedor, monitorice el estado con herramientas de gestión centralizada.
    3. Cifrado de extremo a extremo Si nos conectamos remotamente a la empresa, que sea mediante una VPN con un buen cifrado.
    4. No utilizar herramientas gratuitas como Any-Desk, TeamViewer, que nos obliga a mantener 24/7 nuestros equipos encendidos, para que los ciber-delincuentes suelen aprovechar las noches para ejecutar los ataques y no levantar sospechas
    5. Si tenemos reuniones o videollamadas debemos asegurarnos que sea segura y utilizar una herramienta de comunicación empresarial avanzada como Microsoft Teams.
    6. Es un buen momento para pensar con las contraseñas que utilizas. Hacerlas más complejas, que deban modificar con más frecuencia.
    7. Usar la autentificación multifactor (MFA) es un sistema de seguridad que requiere más de un modo de autentificación para asegurar que personas ajenas tengan acceso.
    8. Poner permisos de acceso a las carpetas compartidas de nuestros sistemas. El usuario debe acceder sólo a los datos que realmente necesita acceder por sus tareas en la empresa.
    9. Tener los PCs actualizados y en la última versión disponible. Si vemos el aviso de Windows Update que hay una actualización para instalar, instale la!
    10. Si ves algún comportamiento extraño a tus dispositivos notifica inmediatamente a tu departamento IT para que puedan investigar que esta pasando y así evitar daños.

    Esperamos que os sean de ayuda estos consejos y los ayuden a mejorar. Si desea información póngase en contacto con nosotros:

     

    Quieres más información de com mejorar la seguridad de tu empresa?

     

    ens-iso27001-infordisa

    Recientemente el BOE ha publicado el RD 43/2021 de seguridad de las redes y sistemas de información indicando así a las empresas esenciales la obligatoriedad de tener un Responsable de la Seguridad de la Información (RSI), también conocida como Chief Information Security Office (CISO), como la persona experta en la protección de los sistemas de información de las empresas, tendrá las competencias para elaborar y supervisar las políticas de seguridad y las medidas técnicas y organizativas a implantar en la organización.

    Así pues, las empresas esenciales deben implementar un Sistema de Gestión de la Seguridad de la Información (SGSI) y es el Responsable de la Seguridad de la Información el encargado de operarlo y gestionarlo.

    Actualmente existen diferentes normativas o marcos reconocidos que regulan un SGSI, como es la ISO / IEC 27001 o el Esquema Nacional de Seguridad (ENS) en el que certifican estas políticas y medidas técnicas y organizativas.

    Para que haya una implantación de un SGSI garantizando la seguridad de la información de nuestros datos recomendamos:

    • Sponsors internos: es importante el apoyo total de la junta directiva que impulse todas las políticas y normas que deberán aplicarse, y sobre todo los costes que puede implicar aventurarse en un proyecto como este.
    • ¿A quién involucramos en el Comité de Seguridad TIC? Cómo será el encargado de tomar las decisiones trascendentales en materia de seguridad a la organización que afectarán a todo el organismo, es recomendable que sea un comité interdisciplinario con las diferentes áreas responsables de área haciendo énfasis con los departamentos legales, financieros, operación / producción, RRHH, seguridad física y obviamente, Informática.
    • Elaborar una política de seguridad y normas de seguridad que sean personalizadas a la organización:
      • Seguridad por Defecto: Los sistemas se configurarán para proporcionar las funcionalidades mínimas requeridas para qué la persona y la organización alcancen sus objetivos.
      • Zero Trust o Confianza cero: Todo elemento del sistema que no haya sido configurado y esté configurado para nosotros, deberá ser tratado como una amenaza.
      • Mínimos privilegios: los usuarios y sistemas dispondrán de los mínimos privilegios y accesos para la operativa diaria, y se implementarán los procesos de autorización necesarios para tareas fuera de los habituales.
    • GAP Analisys, análisis de insuficiencias iniciales, tenemos que ser muy objetivos en este punto para evitar desviaciones y posibles sobrecostes. Con este análisis tendremos una serie tareas y proyectos a implementar y asignar correctamente a la persona adecuada.
    • Definir una matriz RACI y establecer sesiones de controles trimestrales para el seguimiento de los proyectos identificados.
      Elegir un buen software y metodología de Gestión de Riesgos y formarse muy bien en este, pues la estrategia a elegir para proteger nuestros sistemas, deben estar basadas en los riesgos obtenidos.
    • Seguridad integral a toda la organización: un SGSI se apoya en la comprensión y la aceptación de las diferentes políticas y normas de seguridad por parte de toda la organización y trabajadores. Comunicarlas y hacerlas llegar de la forma adecuada a todos los usuarios será la clave del éxito de este proyecto.
    • Definir un buen calendario de auditorías técnicas y normativas para garantizar que las diferentes medidas y controles que se habrán ido implementando según el Plan, se mantienen y están en el grado de madurez requerido.
    A Infordisa disponemos de un departamento especializado en la implementación de Sistemas de Gestión de la Seguridad certificables por la ISO / IEC 21001 y el Esquema Nacional de Seguridad (ENS).

    ¿Quieres más información de nuestros servicios en ciberseguridad?

     

    Calendar

    Es imposible garantizar la seguridad total de la información, lo que significa que las empresas deben estar preparadas para reaccionar ante un posible desastre que pueda paralizar a su actividad. Hoy en día, recibir un ataque informático y perder todos los datos es algo común que seguro hemos vivido con mayor o menor proximidad. La información con la que trabajan las empresas es un activo esencial para su negocio, y quedarse sin este activo puede impedir trabajar de manera temporal o permanente.

    Ante una eventual pérdida de datos por ataque o por accidente, es necesario que contemplamos los siguientes aspectos que permitirán asegurar la continuidad de nuestra actividad y de la empresa:

    Plan de continuidad de negocio

    El plan de continuidad de negocio es una recopilación de pautas que indican cómo actuar ante un posible desastre. Este plan se presenta como una política de seguridad que tiene que definir una serie de puntos clave:

    • Identificar los activos críticos. Es necesario que tengamos reconocidos aquellos activos que son condicionantes para la continuidad del negocio. No es igual de crítica la documentación comercial en PDF que la base de datos de nuestro sistema ERP.
    • Definir responsabilidades. Debe quedar muy claro quién debe hacerse cargo de la situación en caso de desastre, por lo tanto es importante marcar roles y responsabilidades de los actores en esta situación.
    • Realizar un análisis de riesgos. Con el fin de clasificar los activos, determinaremos qué dependencias tienen, cuánto tiempo podemos estar sin este activo, y qué tiempo mínimo de recuperación sería aceptable.
    • Definir política de comunicación. Ante un desastre, puede ser muy importante la comunicación a los afectados o a las autoridades pertinentes, por lo tanto hay que definir el mensaje a transmitir y cómo hacerlo.
    • Marcar la periodicidad de revisión. Este plan no puede quedarse obsoleto, de ahí que debe tener una fecha de caducidad que asegure que periódicamente se revisa y se comprueba la validez.
    • Elegir la estrategia de continuidad. ¿Cuál será la estrategia más adecuada para nuestra empresa? Tendremos que valorar si podemos plantear soluciones de backup estándar o habrá que diseñar sistemas Disaster Recovery (DR)

    Backup

    El backup es un sistema que tiene como objetivo almacenar de toda la información y su histórico, de manera continuada, y ser capaz de poder restaurar en cualquier momento sin afectar a la integridad de los datos. Como sistema puede suponer un tiempo alto de recuperación, pero es imprescindible para recuperar la normalidad.

    Siguiendo estrategias como el backup 3-2-1, cualquier empresa puede obtener las máximas garantías con los mínimos recursos. Esta estrategia responde a las siguientes claves:

    3: Disponer de 3 copias de cada archivo (el original y dos copias)

    2: Utilizar 2 soportes de copias diferente, para plantear diferentes escenarios de desastre

    1: Ubicar 1 de las copias fuera del centro principal, para evitar desastres físicos como incendios o inundaciones.

    Es un sistema con un coste bajo pero con un tiempo de restauración más alto.

    Disaster Recovery (DR)

    Un sistema DR o Disaster Recovery va mucho más allá de un sistema de backup. Lo que busca es garantizar los datos y también los procesos, haciéndolos disponibles con una menor ventana temporal.

    El sistema Disaster Recovery planifica el sistema necesario para que en un caso de desastre, exista una alternativa disponible de manera inmediata que afecte mucho menos la continuidad del negocio. Permite no depender de tiempo de recuperación o restauración, y propone derivar la actividad a un sistema alternativo que, aunque sea de forma temporal, se presente como sistema principal. De esta manera el tiempo de recuperación del sistema afectado no perjudica la continuidad de la actividad.

    Se trata de un sistema con un coste más alto pero con un tiempo de restauración mínimo.

    Si quiere valorar cuál es el planteamiento de continuidad de negocio que más se ajusta a sus necesidades, nuestro equipo de profesionales aportará una visión crítica y concluirá la mejor estrategia para su empresa.