Cómo evaluar el seguro de información para su empresa

Hace unos días mi amigo Alberto me comentó que se le había caído su móvil, se había roto y que estaba muy preocupado por todas las fotos que mantenía en su carrete, ya que estaban todos los recuerdos de su familia desde hacía una cantidad considerable de tiempo. Lógicamente, lo primero de todo será intentar arreglar el móvil, pero claro, debido al estado de alarma no sabía cuanto tiempo iba a estar sin “sus recuerdos” y también la intranquilidad que tenía por si no tenía solución.

Alberto desconocía que su móvil tenía contratado un seguro de información con Apple, y que todos sus datos y sus fotos (lo que a él más le importaba) serían fácilmente recuperables en unos cuantos clics de ratón.

Siguiendo este hilo argumental podemos inferir que, si el 95% de nosotros tenemos un seguro de información contratado para nuestros móviles, con nuestra empresa y su activo más valioso (la información que maneja) sería casi obligatorio de ley contratar un seguro que nos mantenga a salvo de cualquier tipo de problema relacionado con la perdida de información dentro de nuestra empresa.

De acuerdo, vamos a ello: Lo primero que tendremos que saber es ¿cómo contratamos ese seguro? ¿Qué tipos de seguros de información hay disponible en el mercado? ¿Cómo nos decidimos entre uno u otro? ¿Qué información queremos mantener segura? Vale, yo que trabajo en el departamento de IT ya tengo claro que solución de respaldo de información quiero, pero ¿cómo convenzo a mi director financiero?

Pues entrando en materia no nos queda más remedio que definir métricas reales para poder cuantificar de manera técnica parámetros como capacidad de recuperación, impacto en negocio y las preocupaciones financieras relativas a la protección de datos.

Vamos a retroceder al año 196 a.C con un fragmento de una antigua estela egipcia:  la famosa piedra de Rosetta. Lo que nos interesa de ella en este contexto es que debemos manejar varias métricas (lenguajes) diferentes dando a cada área de la empresa las que realmente le interesan.

Ten por seguro que si estas en el departamento de IT de tu empresa y hablas a tu CFO de RPO & RTO en tu planificación de copias de seguridad seguramente no se va a enterar de nada e incluso se va a molestar contigo porque va a pensar que le estas haciendo perder el tiempo.

Por lo tanto, lo más conveniente será hablar en el idioma correcto para conseguir que los diferentes departamentos comprendan la necesidad de tener un sistema de respaldo eficiente y ágil.

Estas son las métricas que debemos utilizar y comprender:

1. Los profesionales de IT deberán lidiar con el punto de recuperación objetivo (RPO) y el  tiempo de recuperación objetivo (RTO) como base para la selección adecuada de la tecnología o herramienta de protección de datos. Será importante que los responsables de IT sepan negociar con la dirección y con sus proveedores de soluciones de respaldo,  unas condiciones de niveles de servicio (SLA’s) que se ajusten a la realidad de sus sistemas para ajustar correctamente las métricas enunciadas en el punto 2.
2. Los profesionales responsables de operaciones dentro de la empresa estarán mucho más preocupados por lidiar con el análisis del impacto comercial (BIAs) así como con las evaluaciones de riesgo (RA) .
3. Los profesionales financieros no se van a preocupar mucho de los sistemas de copias de seguridad, pero si se van a preocupar de las inversiones de la compañía y de su retorno asociado. Es decir, lo mirarán todo mediante la visión del costo total de propiedad (TCO) y el retorno de inversión (ROI)

En definitiva, la protección efectiva de datos debería empezar por comprender los procesos de negocio que dependen de la infraestructura IT. Solamente cuando hayamos sido capaces de cuantificar el impacto de una caída de los servicios y la perdida de información podremos estar preparados para el desastre con la(s) solución(es) idóneas.

Hay un dicho muy popular entre los aficionados a las motos:

“Solamente existen dos tipos de motociclistas: los que ya se han caído y los que se van a caer”