Imprimir libroImprimir libro

Sistemas de Xestión da Seguridade da Información, Auditorías e Plans de Continxencias

Sitio: Aula Virtual do IES de Rodeira
Curso: Seguridade e Alta Dispoñibilidade (Javier Taboada)
Libro: Sistemas de Xestión da Seguridade da Información, Auditorías e Plans de Continxencias
Impreso por: Usuario convidado
Data: sábado, 27 de decembro de 2025, 4:23 AM

Descrición

  • Os Sistemas de Xestión da Seguridade da Información
  • Auditorías de Seguridade: Fases
    • Contrato e información xeral sobre os sistemas. Clasificación da información
    • Recoleccion de datos (footprinting, fingerprinting)
    • Análise de Vulnerabilidades (Pentesting) e clasificación
    • Xeración de informe
    • Establecemento de políticas de seguridade
  • Plan de Continxencias


Táboa de contidos

1. Xestión da Seguridade da Información

Un Sistema de Xestión da Seguridade da Información (SXSI) é un conxunto de políticas de administración da información.

Un SXSI consiste no deseño, implantación e mantemento dun conxunto de procesos para xestionar eficientemente a accesibilidade da información, buscando asegura-la confidencialidade, integridade y dispoñibilidade dos activos de información minimizando á vez os riscos de seguridade da información.

A mellor definición de SXSI é a descrita pola ISO/IEC 27001 e a ISO/IEC 27002 que relaciona os estándares publicados pola International Organization for Standardization (ISO) e a International Electrotechnical Commission (IEC).

  • A ISO-27001 define os requisitos de auditoría e sistemas de xestión de seguridade.

  • A ISO-27002 é un código internacional de boas prácticas na seguridade da información.

Os sistemas de xestión de seguridade da información buscan protexer os recursos do sistema: hardware, software, elementos de comunicación, a información que se procesa e distribúe, locais e oficinas, persoal involucrado no sistema e a reputación e imaxe da organización das posibles ameazas.

Normalmente, a elaboración dun sistema de xestión da seguridade da información lévase a cabo mediante diversas metodoloxías e estándares (coma ISO 27001) que conlevan a realización de diversas fases:

  • Definición da política e alcance do SXSI

  • Establecemento das responsabilidades e recursos

  • Rexistro de activos

  • Xestión do risco

  • Selección de controis aplicables

  • Establecemento de aplicabilidade

  • Implantación.

O seguimento estrito destas fases normalmente é moi complexo debido á falta de concienciación das direccións das empresas e a inexistencia dunha base previa mínima de seguridade da información. A implantación de medidas non comeza ata ben avanzado o proxecto, e polo tanto un dos fins principais normalmente perseguidos (a implantación de medidas de seguridade críticas a curto prazo) non se alcanza.


1.1. Identificación de Interlocutores

Será necesario saber con que persoal se pode falar para obter a información necesaria e obter o acceso aos dispositivos e sistemas da compañía baixo as condicións establecidas, ademais de planificar a súa dispoñibilidade.


1.2. Recolección de información

Se obterá todo tipo de información referente a seguridade da información mediante entrevistas, revisión de documentación, ... etc. Un posible método pode ser a presentación ao interlocutor dun cuestionario que este devolverá cumprimentado. A información máis salientable é a seguinte:

Aspectos Técnicos

  • Topoloxía e arquitectura da rede e servizos existentes.

  • Servizos ofrecidos de xeito interno e ao público, e a través de que medio (Internet, VPN.. etc)

  • Elementos e dispositivos de seguridade existentes na rede e descrición da súa función (IDS, firewalls, antivirus...)

  • Puntos de interconexión con outras redes, descrición das DMZ, niveis de seguridade...

  • Posibles puntos de fallo coñecidos na rede, dispositivos, servidores. Mecanismos de alta dispoñibilidade existentes e procedementos de emerxencia asociados, responsables... etc.

  • Plan de direcionamento da rede (público e privado) e procedementos asociados ao mesmo.

  • Documentación existente relativa a rede, servizos.. etc.

  • Existencia de xestión da rede e servizos.

Aspectos Organizativos

  • Definición da organización, áreas ou departamentos obxectos do estudio (a que se dedica, cales son as súas funcións, de que é responsable, etc).

  • Estrutura organizativa da compañía. Relacións con outras áreas, departamentos ou organizacións. Roles existentes, fluxos de información, responsables...etc

  • Enumeración e descrición das políticas, procedementos, instrucións de traballo ou normas existentes na compañía susceptibles de cumprimento (ISO9001, políticas de seguridade, políticas de comunicación, políticas de uso de recursos... etc)

  • Enumeración e explicación de outra políticas de seguridade ou documentos existentes que poidan ser de aplicación.

  • Enumeración e descrición do cumprimento actual na lexislación das tecnoloxías da información aplicable.

Recolección Técnica de Información

Trátase de obter todo tipo de información mediante diversos métodos técnicos e empíricos nunha mostra representativa dos sistemas e dispositivos da organización. Deberían abordarse os seguintes puntos:

Enumeración e Caracterización

Tomando como base a información obtida no punto anterior, identificaranse os sistemas, dispositivos e aplicacións sobre as que se realizará o estudo técnico. A información mínima a recopilar será:

Caracterización de Sistemas

  • Sistema (nome, equipo, fabricante)

  • Ubicación

  • Responsable

  • Versións software (Sistemas Operativos e aplicacións)

  • Estado de parches e actualizacións

Caracterización de Aplicacións

  • Aplicación (nome, fabricante, versión)

  • Subsistemas asociados (onde funciona)

  • Interrelación con outras aplicacións

  • Responsable

  • Estado de parches e actualizacións.

Análise de Tráfico

O seu obxectivo é caracteriza-lo tipo de tráfico que discorre polas redes da organización, así como detectar posibles puntos de fallo ou de atasco en ditas redes. Deberían identificarse os puntos sensíbeis nos que realizar as medidas, que poderían ser as interconexións entre segmentos, os segmentos de servidores/aplicacións críticas, os segmentos dos usuarios... etc.

Cada medida debería realizarse por un período de tempo significativo que depende do entorno, e tendo en conta as franxas temporais de actividade. As capturas se almacenarán para ser tratadas e examinadas posteriormente.

Análise de vulnerabilidades de sistemas e aplicacións

Preténdese detectar puntos débiles na seguridade dos sistemas e das aplicacións, consistentes en erros de programación ou configuración que podan ser causa de vulnerabilidades explotables por atacantes.


1.3. Análise de Información

Se procederá ao análise de toda a información recollida nos puntos anteriores, estudando as posibles carencias de seguridade dos deseños de rede, accesos a información ou procesos organizativos implementados. Para elo se tomarán como base distintas fontes como poden ser os códigos de boas prácticas existentes aplicables aos distintos sistemas e procesos analizados, metodoloxías e estándares (coma ISO27001) de recomendable ou obrigado cumprimento, lexislación e normativas internas aplicables, ademais de bases de coñecemento existentes sobre os distintos sistemas analizados ademais da experiencia e coñecemento do equipo de traballo encargado do proxecto.


1.4. Informe de Estado da Seguridade da Información

Recollerase nun único documento unha imaxe da situación actual da organización no que a implantación de medidas técnicas e organizativas de seguridade se refire. Este informe persigue dous obxectivos: Proporcionar unha visión global e detallada do estado da organización en canto á seguridade, e sinalar cales son os aspectos mellorables e a proposta de accións correctivas ordenadas por relevancia. Os distintos apartados do informe serían:

  • Descrición do estado actual: Se describirán os datos recollidos na recolección técnica de información e o estado actual das redes e sistemas de comunicación. Un exemplo da estrutura sería:

  • Topoloxía.

  • Inventario e caracterización dos sistemas máis importantes.

  • Inventario e caracterización de servizos públicos e privados.

  • Descrición das medidas de seguridade física implantadas.

  • Descrición das medidas de seguridade lóxica implantadas.

  • Listado das políticas e procedementos referentes ao manexo dos sistemas de información.

  • Análise e recomendacións técnicas: Para cada un dos apartados indicados no punto anterior, se revisarán as implicacións existentes respecto á seguridade e se recomendarán as accións necesarias para paliar os problemas.

  • Conclusións e propostas de acción: Se clasificarán as accións recomendadas segundo unha gradación baseada na criticidade da aplicación e a cantidade de risco asumido pola non implementación de medidas, se especificará un tempo recomendado para abordar a solución segundo o grao de riso. Como referencia, unha clasificación sería:

  • Crítico: aplicación inmediata.

  • Alto: Aplicación en tres meses.

  • Medio: Aplicación de tres a seis meses.

  • Baixo: Aplicación de seis a doce meses.

  • Medidas de Seguridade e Controis Recomendados: Adicionalmente propondranse unha serie de medidas e controis de seguridade aplicables segundo a recomendación das guías de boas prácticas existentes como a norma ISO/IEC 17799/27001. Recoméndase a identificación e descrición das distintas medidas de seguridade e controis aplicables da norma seguida.

  • Resumo executivo: Se recollerá de forma clara, concisa e nunha linguaxe comprensible evitando termos excesivamente técnicos un resumo dos principais resultados e riscos que a organización está a asumir debido ao estado actual de implantación de medidas. Este apartado probablemente sexa o de maior visibilidade e o que pode influír no apoio da xerencia ao cumprimento das medidas necesarias.


1.5. Presentación do Informe

Deberá presentarse á dirección da empresa o informe elaborado no punto anterior, de xeito que, ademais de servir como documentación do estado técnico e organizativo da empresa, proporcione á dirección a información que precisa para decidir sobre a implantación de medidas de seguridade. A presentación deberá estruturarse dun modo axeitado, recomendándose un esquema similar ao seguinte:

  • Introdución sobre a seguridade da información

  • Descrición do estudio realizado e motivación do mesmo

  • Estado actual da organización.

    • Exemplos de hallazgos de problemas e vulnerabilidades existentes

    • Recomendacións

    • Accións urxentes que se precisan.

  • Conclusións.

De aquí debería obterse o apoio e compromiso explícito da dirección no desenvolvemento do proxecto e na aprobación do informe, que daría comenzo ao desenvolvemento do plan de acción.


1.6. Desenvolvemento do Plan de Acción de Seguridade e Protección da Información

Este documento incluirá de forma xeral a planificación completa para a implantación das accións identificadas de xeito que podan establecerse uns logros e datas asociadas para o cumprimento e consecución dos distintos obxectivos. Precisaremos polo menos da seguinte información:

  • Desenvolvemento técnico (e organizativo, si corresponde) completo e en detalle da acción a tomar.

  • Planificación completa e detallada de cada acción, incluíndo tempos e plan de implantación a curto, medio e longo prazo.

  • Identificación dos recursos humanos necesarios indicando si poden ou deben ser internos ou externos.

  • Valoración económica nos casos que sexa posible.

  • Ofertas de provedores nos casos que se requiran terceiros na implantación.

As accións a incluír dependerán das medidas de seguridade que xa estiveran implantadas e do grao de experiencia da compañía no tema, pero algunha das accións típicas poderían ser:

  • Mellora da estrutura organizativa (creación dun comité de seguridade, establecemento de responsabilidades, etc..)

  • Posible externalización de algunhas funcións.

  • Desenvolvemento e difusión de políticas de seguridade e procedementos asociados.

  • Melloras nas plataformas de sistemas ou no centro de proceso de datos.

  • Melloras na seguridade dos dispositivos de comunicacións (WiFi, WAN, LAN, segmentación...)

  • Análise de Vulnerabilidades.

  • Desenvolvemento do proceso de xestión da continuidade do negocio.

  • Análise de riscos.

  • Desenvolvemento do plan de continxencia de tecnoloxías de información.

  • Plan de formación

  • Outros.


1.7. Presentación do Plan.

O documento anterior deberá presentarse á dirección e realizar unha defensa do mesmo. Unha posible estrutura da presentación podería ser:

  • Introdución sobre a orixe do documento e o proceso de desenvolvemento asociado.

  • Descrición temporal e xustificada dos prazos curto, medio e longo, os tipos de accións asociados e os motivos de dita clasificación.

  • Planificación xeral: identificación de todas e cada unha das accións a realizar.

  • Curto Prazo: Descrición detallada de cada acción, incluíndo prazo temporal, recursos precisos, propostas de provedores, tarefas incluídas e valoración económica.

  • Medio Prazo: Procederase de igual forma que nas medidas a curto prazo.

  • Longo Prazo: Procederase de igual forma que nas medidas a curto prazo.

  • Proposta de planificación temporal: Daranse datas reais como obxectivo de cumprimento da implantación das medidas do documento.


1.8. Implantación.

Unha vez aceptado o documento anterior pola dirección se implantarán as distintas tarefas. Se levará a cabo un plan de proxecto de coordinación da implantación que incluirá:

  • Adquisición/Asignación de recursos: Deberá asegurarse a dispoñibilidade dos recursos precisos sinalados no informe nos prazos estimados e se debe contemplar a posibilidade de que algún de eles se asigne a tarefas de realización simultánea.

  • Seguimento: O persoal encargado do seguimento deberá coordinar o traballo entre os equipos que realicen as tarefas en sistemas con interfaces comúns para asegurar que non interfiren entre eles.

  • Reunións de Revisión: Se programarán reunións de revisión periódicas, así coma reunións coa dirección para informar do estado da implantación das distintas tarefas.


2. As Auditorías de Seguridade

Unha auditoría de seguridade é un proceso formal e sistemático no que se avalía a eficacia, adecuación e cumprimento dos sistemas de seguridade dunha organización. O obxectivo é identificar vulnerabilidades, fallos de conformidade ou debilidades en políticas, procedementos, controis técnicos e sistemas, e verificar se as medidas de seguridade implementadas están a funcionar correctamente para protexer os activos de información da organización.

As auditorías de seguridade permiten detectar non só fallos técnicos, senón tamén a eficacia das políticas de seguridade, asegurando que se cumpra coa normativa e estándares internacionais (como a ISO 27001). Tamén axudan a identificar áreas onde se poden mellorar os controis e procedementos.

Principais Tipos de Auditorías de Seguridade

  1. Auditoría Interna: Realizada por persoal interno da organización para revisar de forma periódica o cumprimento das políticas de seguridade e os controis implementados.

  2. Auditoría Externa: Realizada por auditores externos ou terceiras partes independentes para garantir a imparcialidade e obter unha visión obxectiva da seguridade da organización.

  3. Auditoría de Conformidade: Avalía o cumprimento da organización coas leis e normativas de seguridade aplicables, como GDPR, HIPAA, ou estándares como a ISO 27001.

  4. Auditoría Técnica: Enfócase en revisar os sistemas de TI para detectar vulnerabilidades técnicas nos servidores, redes e aplicacións, incluíndo probas como pentesting.

Fases dunha Auditoría de Seguridade

  1. Planificación e definición do alcance: Nesta fase, establécese o obxectivo da auditoría, os sistemas e procesos a revisar, e o alcance da mesma (que pode incluír revisións de redes, servidores, procedementos, políticas e conformidade normativa).

  2. Recompilación de información: Inclúe a recompilación de datos sobre a infraestrutura tecnolóxica, políticas de seguridade, procedementos e controis implementados.

  3. Avaliación de vulnerabilidades: Utilízanse ferramentas de análise para detectar vulnerabilidades nos sistemas, redes, aplicacións ou datos. Pódense realizar probas de penetración para identificar vulnerabilidades que poidan ser explotadas.

  4. Revisión de políticas e controis: Avalíase o cumprimento das políticas de seguridade, controis físicos, controis de acceso, protocolos de xestión de incidentes e calquera outro proceso relacionado coa seguridade.

  5. Análise de riscos e impacto: Avalíase o impacto potencial de calquera vulnerabilidade descuberta ou fallo de conformidade, priorizando segundo a gravidade e o risco asociado a cada problema.

  6. Elaboración do informe de auditoría: Prodúcese un informe que describe os achados, incluíndo vulnerabilidades, fallos de conformidade e recomendacións para mellorar a seguridade. O informe tamén pode incluír unha análise do risco e propostas para corrixir as deficiencias.

  7. Accións correctivas e seguimento: Baseándose no informe, a organización debe implementar as melloras recomendadas e realizar un seguimento para garantir que as deficiencias detectadas se corrixan adecuadamente.

2.1. Análise de Vulnerabilidades

O análise de vulnerabilidades é o proceso de identificación, avaliación e clasificación de debilidades ou puntos vulnerables nun sistema informático, rede, aplicación ou infraestruturas tecnolóxicas que poidan ser explotados por atacantes para comprometer a seguridade. O obxectivo deste proceso é detectar e corrixir proactivamente esas vulnerabilidades antes de que sexan explotadas por axentes maliciosos. O análise de vulnerabilidades forma parte da xestión integral da seguridade da información e adoita realizarse de maneira regular para garantir que os sistemas estean protexidos contra ameazas emerxentes.

Principais Fases 

  1. Contrato : Resulta legalmente indispensable que se identifiquen  claramente os sistemas obxecto do pentestingA entidade auditada debe demostrar a titularidade dos sistemas. Se deben establecer os mecanismos de notificación e alerta das vulnerabilidades. Normalmente se debe indicar o estándar de pentesting a seguir: ISSAF (Information Systems Security Assessment Framework)PCI DSS (Payment Card Industry Data Security Standard), PTES (Penetration Testing Execution Standard)OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad) Debe pactarse quen terá acceso ao informe final e a quen se lle entregará, así como as medidas de seguridade que se deben aplicarse sobre o mesmo.

  2. Recolección de Información
    Nesta fase recompílanse datos sobre a infraestrutura, os sistemas e as aplicacións que van ser avaliados. Isto inclúe información sobre direccións IP, portas abertas, servizos e software en execución, e a configuración dos sistemas. A información recompilada axuda a establecer un mapa claro da superficie de ataque.  A recolección de información se fará habitualmente usando dous métodos:  footprinting e fingerprinting. O footprinting consiste na recopilación de información pública, xa sexa revelada de xeito voluntario ou involuntario (DNS, IP e rutas, ICCAN...) existen ferramentas especializadas en footprinting, como netcraft ou google dorks. O fingerpringint en cambio consiste no acceso a información fornecida polos propios sistemas aproveitando as pegadas dixitais dos servizos e sistemas operativos.

  3. Identificación de Vulnerabilidades
    Utilízanse ferramentas automatizadas de escaneo para buscar vulnerabilidades coñecidas en sistemas, redes e aplicacións. Estas ferramentas utilizan bases de datos de vulnerabilidades actualizadas (como a base CVE - Common Vulnerabilities and Exposures) para identificar debilidades, como software desactualizado, portas abertas sen protección, ou erros de configuración.

  4. Avaliación de Riscos
    As vulnerabilidades identificadas son avaliadas en función do seu impacto potencial e da probabilidade de que sexan explotadas. A avaliación dos riscos permite priorizar as vulnerabilidades que precisan ser tratadas con urxencia. Este proceso inclúe unha análise do impacto sobre a confidencialidade, integridade e dispoñibilidade dos sistemas afectados.

  5. Proposta de Solucións
    Despois de avaliar os riscos, o seguinte paso é propoñer medidas correctivas ou de mitigación para resolver as vulnerabilidades. Estas medidas poden incluír actualizacións de software, reconfiguración de sistemas, aplicación de parches de seguridade ou o reforzo de controis de acceso.

  6. Informe
    O análise de vulnerabilidades conclúe cun informe que detalla as vulnerabilidades detectadas, o nivel de risco asociado a cada unha e as recomendacións para mitigar ou eliminar esas vulnerabilidades. Este informe serve como guía para o equipo técnico da organización para implementar as accións correctivas necesarias.

Test de Penetración

Un test de intrusión ou “pentesting” é un método de auditoría que intenta romper a seguridade dun sistema informático para localizar as súas debilidades. A mellor forma de facer un test deste tipo é realizar un ataque. 

Ferramentas 

Os test de penetración fan uso de diversas ferramentas como por exemplo:

1. Nmap (Network Mapper)

  • Función: Nmap é unha ferramenta de escaneo de redes que permite aos auditores identificar equipos conectados a unha rede, os servizos que están executando, as versións do software e os portos abertos. É útil para identificar vulnerabilidades en redes e sistemas ao descubrir servizos non autorizados ou portos expostos.
  • Uso: Utilízase na fase de recompilación de información para mapear a rede e descubrir dispositivos que poidan ter vulnerabilidades.

2. Nessus

  • Función: Nessus é unha ferramenta de escaneo de vulnerabilidades amplamente utilizada para identificar debilidades en sistemas, redes e aplicacións. Realiza unha análise automática de vulnerabilidades, detectando fallos de configuración, sistemas non actualizados, e debilidades en controis de seguridade.
  • Uso: Útil para identificar vulnerabilidades coñecidas en sistemas, bases de datos, servidores e aplicacións web. Proporciona informes detallados cos riscos asociados e recomendacións para corrixir os problemas.

3. Wireshark

  • Función: Wireshark é unha ferramenta de análise de tráfico de rede que permite capturar e inspeccionar paquetes de datos que circulan por unha rede. Os auditores poden usar Wireshark para identificar tráfico non autorizado, vulnerabilidades na transmisión de datos e posibles ataques de rede.
  • Uso: Utilízase para monitorizar o tráfico en tempo real e detectar posibles incidentes de seguridade, como ataques Man-in-the-Middle ou fugas de información.

4. Metasploit

  • Función: Metasploit é unha plataforma de probas de penetración (pentesting) que permite aos auditores probar vulnerabilidades explotables nun sistema. Pódese usar para simular ataques e ver ata onde se poden comprometer sistemas ou redes.
  • Uso: Axuda a confirmar a existencia de vulnerabilidades identificadas durante a auditoría e a demostrar o impacto potencial se estas foron explotadas por atacantes.

5. OpenVAS (Open Vulnerability Assessment System)

  • Función: OpenVAS é un escáner de vulnerabilidades de código aberto que realiza un análise detallado de sistemas e redes para detectar vulnerabilidades coñecidas, erros de configuración e problemas de seguridade.
  • Uso: Ideal para identificar puntos débiles en servidores, redes e dispositivos.

6. Kali Linux

  • Función: Kali Linux é unha distribución de Linux orientada á seguridade que inclúe un conxunto completo de ferramentas para probas de penetración, escaneos de vulnerabilidades e análises de redes. Contén ferramentas como Nmap, Metasploit, Wireshark e moitas máis.
  • Uso: Utilízase amplamente en auditorías técnicas de seguridade para realizar probas de penetración e vulnerabilidade en sistemas de información.

7. Tripwire

  • Función: Tripwire é unha ferramenta que realiza unha auditoría dos sistemas e monitoriza cambios non autorizados en arquivos e configuracións. Isto é fundamental para detectar modificacións que poidan indicar un ataque ou unha vulnerabilidade en sistemas críticos.
  • Uso: Ideal para xestionar a integridade dos sistemas e detectar cambios que poidan comprometer a seguridade.

3. O Plan de Contixencias

O plan de continxencias é un documento estratéxico dentro da xestión da seguridade da información que define as accións a tomar para previr, responder e recuperar dunha situación que ameace a continuidade das operacións dunha organización, como un fallo no sistema, un ataque cibernético, un desastre natural ou calquera outra emerxencia que poida afectar a infraestrutura tecnolóxica ou os procesos críticos da empresa. O seu obxectivo é minimizar o impacto dun incidente sobre a organización, garantindo que se poidan continuar as operacións ou se restablezan rapidamente despois dun evento adverso.

Principais Compoñentes dun Plan de Continxencias

  1. Identificación de Amenazas e Riscos
    Un plan de continxencias comeza coa identificación de ameazas potenciais que poidan afectar a organización. Estas ameazas poden ser de varios tipos:

    • Amenazas naturais: como incendios, inundacións, terremotos, etc.
    • Amenazas tecnolóxicas: fallos nos sistemas informáticos, cortes de electricidade, fallos de hardware ou software.
    • Amenazas humanas: ataques cibernéticos, erros de usuarios, sabotaxes ou roubos de datos.

    Tras identificar as ameazas, realízase unha análise de riscos para avaliar a probabilidade de que ocorra cada tipo de incidente e o impacto potencial sobre os activos e operacións da organización.

  2. Análise de Impacto no Negocio (BIA, Business Impact Analysis)
    O BIA é unha parte fundamental do plan de continxencias e consiste en determinar o impacto que tería cada tipo de incidente nas operacións da organización. Esta análise identifica:

    • Procesos críticos que deben ser protexidos ou recuperados rapidamente.
    • Tempo Máximo de Inactividade Aceptable (RTO, Recovery Time Objective), que establece o período máximo de tempo que un sistema ou servizo pode estar inactivo sen causar danos irreparables.
    • Punto de Recuperación de Datos (RPO, Recovery Point Objective), que indica a cantidade máxima de datos que a organización pode permitirse perder nunha interrupción.

  3. Estratexias de Prevención
    Baseándose na análise de riscos e no impacto identificado, o plan de continxencias inclúe estratexias preventivas para mitigar ou reducir o risco de que se produzan incidentes. Estas estratexias poden incluír:

    • Implementación de medidas de seguridade (cortalumes, antivirus, sistemas de detección de intrusións).
    • Creación de copias de seguridade periódicas dos datos.
    • Redundancia nos sistemas e infraestruturas críticas, como servidores de respaldo ou redes alternativas.
    • Formación do persoal sobre procedementos de emerxencia e resposta a incidentes.

  4. Plan de Resposta a Incidentes
    No caso de que se produza un incidente, o plan de continxencias debe definir unha resposta inmediata para conter o impacto e minimizar as perdas. Este plan inclúe:

    • Protocolo de resposta a incidentes: accións inmediatas a tomar para identificar, conter e mitigar o incidente.
    • Notificación de incidentes: mecanismos para alertar a todos os membros da organización, os equipos de resposta e os responsables internos ou externos.
    • Comité de emerxencias: equipos específicos encargados de liderar as accións en resposta ao incidente, compostos por profesionais de diferentes áreas (TI, seguridade, recursos humanos, etc.).
    • Comunicación externa: plan de comunicación con socios, provedores e, se é necesario, coa opinión pública ou as autoridades.

  5. Plan de Recuperación
    Este apartado describe os pasos para recuperar a infraestrutura tecnolóxica e os servizos críticos tras un incidente, co obxectivo de restablecer a operatividade o máis rápido posible. A recuperación implica:

    • Restauración de copias de seguridade para recuperar datos perdidos ou danados.
    • Uso de infraestruturas alternativas en caso de que os sistemas principais estean inutilizables (por exemplo, centros de datos de respaldo ou nubes).
    • Probas de funcionalidade para asegurarse de que os sistemas restaurados operan correctamente antes de retomar as operacións completas.
    • Retorno á normalidade: unha vez os sistemas críticos se recuperaron, o plan debe incluír accións para restaurar todos os procesos empresariais á normalidade.

  6. Plan de Continxencia Operativa
    Mentres se traballa na recuperación total, pode ser necesario implementar medidas temporais que permitan que a organización continúe operando a pesar das limitacións. Isto pode incluír:

    • O uso de procesos manuais ou alternativas operativas.
    • A reubicación temporal do persoal en localizacións seguras.
    • A externalización de servizos críticos a provedores externos durante a emerxencia.

  7. Probas e Mantemento
    Un plan de continxencias é un documento vivo que debe ser probado e actualizado regularmente para asegurarse de que segue sendo eficaz. Isto implica:

    • Probas periódicas de recuperación, nas que se simulan situacións de emerxencia para verificar a resposta do equipo e dos sistemas.
    • Revisión e actualización continua do plan, especialmente despois de cambios na infraestrutura, nos procesos ou na normativa.
    • Formación continua do persoal para garantir que todos saben como actuar en caso de emerxencia.

  8. Comunicación e Formación
    Unha parte importante do plan de continxencias é a comunicación interna e a formación do persoal. Todos os empregados deben estar informados sobre os protocolos de actuación en caso de incidente, e os equipos designados deben recibir formación específica sobre as súas responsabilidades no plan de continxencias.

Importancia do Plan de Continxencias

A elaboración e mantemento dun plan de continxencias é fundamental para calquera organización, xa que:

  • Reduce o tempo de inactividade e o impacto financeiro dun incidente.
  • Minimiza as perdas de datos e danos á infraestrutura tecnolóxica.
  • Garante a continuidade das operacións críticas durante e despois dun evento adverso.
  • Cumpre coas normativas e estándares de seguridade que requiren a planificación de recuperación en caso de desastres.
  • Mellora a reputación e confianza de clientes e socios ao demostrar que a organización está preparada para xestionar situacións de emerxencia.

O plan de continxencias é unha parte esencial dun Sistema de Xestión da Seguridade da Información (SGSI), xa que complementa as políticas e controis de seguridade implementados para protexer os activos da información. Mentres que o SGSI se enfoca en previr riscos, o plan de continxencias establece como actuar cando os controis preventivos fallan ou cando ocorre unha situación de emerxencia que afecta a continuidade do negocio.