2CLIX sabe que su seguridad y privacidad son importantes y se preocupa
mucho por ello.
ACTIVOS CRÍTICOS
Para garantizar la continuidad de los servicios de 2CLIX TECNOLOGIA EIRELI durante
la ocurrencia de un incidente de seguridad, es necesario definir cuáles son los
activos críticos para la prestación de los servicios del Portal de Calidad, el
mantenimiento de los sistemas y la comunicación con los clientes.
Los servidores y bases de datos, en este caso, son el corazón del funcionamiento
de los sistemas: tanto la conexión del Portal de Calidad con Internet como las
bases de datos son vitales para mantener el servicio prestado por la organización.
Sin embargo, estos servidores se encuentran en la nube, ubicados en un Data Center
Tier IV. Este centro de datos cuenta con redundancias en caso de caídas de
servicio graves y protecciones contra fallas mecánicas o eléctricas, así como un
estricto control de acceso.
Entre los activos físicos, las estaciones de trabajo son las más críticas, pues a
partir de ellas todos los colaboradores pueden desempeñar sus funciones. Estas
estaciones de trabajo están compuestas por notebooks, lo que permite que, incluso
si el uso de las oficinas no es posible, los colaboradores puedan seguir
trabajando en modalidad remota.
Los sistemas Azure y Google Suite también son críticos para el cumplimiento de las
funciones de los colaboradores: con Azure se realiza la gestión del código, de los
inicios de sesión en las máquinas y la gestión de tareas; con Google Suite se
gestionan el correo electrónico, el intercambio de archivos y el almacenamiento
digital de documentos.
Mantener la disponibilidad, integridad y confiabilidad de estos puntos —Servidores,
Estaciones de Trabajo y Repositorios— debe ser la prioridad del Plan de
Continuidad de Negocios.
RESPONSABILIDADES
Durante un incidente de seguridad que requiera la activación de este plan, es
necesario que los colaboradores estén al tanto de sus responsabilidades y
funciones para garantizar que la normalización de los servicios sea alcanzada.
Algunos incidentes pueden requerir enfoques específicos y otros pueden seguir el
mismo flujo de acciones.
En el flujo básico: el Administrador del Sistema debe realizar los contactos
externos con autoridades y proveedores, mientras que el responsable de Seguridad
debe encargarse de la comunicación interna y de la delegación de instrucciones
sobre cómo proceder para los demás equipos.
El equipo de Desarrollo debe apoyar en las acciones de contención del incidente,
así como en el aislamiento de sistemas o equipos afectados.
El equipo de Proyectos debe coordinar con el equipo de Seguridad las mejores
acciones para la mitigación del incidente y el mantenimiento de la seguridad de la
información, y coordinar estas acciones con el equipo de Desarrollo.
Los equipos de Soporte y de Negocios deben coordinar con el equipo de Seguridad y
con el Administrador la comunicación con los usuarios, transmitiendo instrucciones
pertinentes, plazos de resolución y apoyo para el control del pánico.
El equipo de Calidad debe trabajar junto con el equipo de Proyectos para realizar
pruebas en el sistema con el fin de ayudar a identificar áreas afectadas y definir
el alcance del incidente.
USO DEL PLAN DE CONTINUIDAD
Incidentes en el Data Center
Los incidentes en el Data Center pueden presentarse tanto como una brecha de
seguridad que represente riesgo para los datos allí almacenados, como en forma de
eventos que provoquen la interrupción del servicio.
En el caso de interrupción del servicio, el Plan de Continuidad de Negocios debe
ser activado cuando el plazo para el restablecimiento del servicio por parte del
Data Center supere las 72 horas. Antes de ese tiempo, el evento debe ser
registrado por el equipo de Seguridad y monitoreado por el Administrador a través
del contacto con el Data Center.
El plazo de 72 horas es necesario porque es el tiempo mínimo para trasladar el
sistema a otro data center y modificar sus rutas DNS. En estos casos, los equipos
de Negocios y de Customer Success mantendrán el contacto con los usuarios,
informando sobre el motivo de la interrupción del servicio del Portal de Calidad,
así como las previsiones de retorno y normalización de los accesos.
Sin embargo, si se produce una reducción en el acceso a los servidores o
inestabilidades derivadas de una falla grave de seguridad en el Data Center que
genere riesgo para los datos contenidos en los servidores, el Plan de Continuidad
debe activarse y, en este caso, el Administrador del Sistema deberá coordinar con
los responsables de infraestructura las acciones para la encriptación total de las
bases de datos ubicadas en los servidores, así como la recopilación de logs del
servidor e inicio de un proceso para aislar las máquinas de las redes afectadas,
cerrando todos los puertos comprometidos y manteniendo solo el acceso de los
responsables de Infraestructura.
Incidentes en la Oficina
El PCN deberá activarse siempre que un incidente ocurra en la oficina y obligue a
la salida de los colaboradores del lugar y a la imposibilidad de uso prolongado de
las instalaciones.
En estos casos, la prioridad debe ser la seguridad física de los colaboradores, y
el proceso de trabajo será completamente trasladado al modelo de Home Office. Por
tratarse de una cultura de trabajo híbrida entre la modalidad presencial y remota,
las máquinas ya cuentan con herramientas para la continuidad del trabajo en Home
Office, y todas las políticas de seguridad contemplan tanto los procesos en el
entorno local como en el trabajo remoto.
Si el incidente provoca daños a las estaciones de trabajo, los colaboradores
afectados deberán esperar en sus casas la entrega de nuevas estaciones. El equipo
de Administración, en estas situaciones, debe recuperar las máquinas afectadas, así
como proporcionar nuevos equipos ya configurados y con los programas necesarios
instalados para el trabajo remoto.
REDUNDANCIAS
Redundancia de Datos
Todas las copias de seguridad de la base de datos se realizan diariamente y se
encuentran encriptadas. El backup se guarda en el servidor principal y una copia
adicional se almacena en un segundo servidor físico en un Data Center del mismo
proveedor, con los mismos protocolos de seguridad que el Data Center utilizado por
el servidor principal.
El servidor de copia de seguridad no tiene puertos abiertos a Internet ni servidores
web en ejecución; solo es accesible para el Administrador del Sistema y los
responsables de infraestructura a través de una VPN distinta de la utilizada por
el servidor principal. Este servidor se usa únicamente para almacenar los backups
y, eventualmente, restaurar el servicio de la aplicación en caso de
indisponibilidad del servidor principal.
Redundancia de Logs y Seguridad
Todos los logs se guardan en dos ubicaciones distintas: los logs de la base de
datos están en una base separada dedicada exclusivamente a los registros y cuya
copia se almacena en una segunda base; los logs de sistema, tanto de los
servidores como de las estaciones de trabajo, se almacenan en los propios sistemas
y se replican en la segunda base. Todos estos logs se replican en el SIEM, de modo
que, incluso si se alteran localmente, los registros originales se mantienen en el
servidor dedicado al SIEM.
Redundancia de Accesos
Los logs de acceso se almacenan en varias instancias, tanto en Azure AD como en
las herramientas de auditoría de Windows. Los servidores también registran los
accesos, ya sean locales o mediante VPN. Todos estos logs se almacenan y analizan
en el SIEM.
GESTIÓN DE DOCUMENTOS
Este documento es válido a partir de su aprobación más reciente y es
responsabilidad del equipo de Administración de 2CLIX TECNOLOGIA EIRELI.
El ciclo de actualización de este documento es anual y debe realizarse siempre
a partir de la evaluación de la eficacia y adecuación de este documento en
relación con las demás políticas y procesos de la empresa.
Para garantizar una evaluación concisa y clara, se utilizarán los siguientes
criterios de evaluación:
- Retorno de las partes interesadas con respecto a la eficacia e impacto del SGSI;
- Eficacia del Plan en situaciones de simulación;
- Costo de aplicación del Plan;
- Retroalimentación a partir de las capacitaciones;
- Feedback de Clientes y Colaboradores después del tratamiento de incidentes
ocurridos; - Retrasos en la aplicación del PCN cuando sea necesario, causados por definiciones
confusas o insuficientes de los procedimientos del PCN.
