Blog
dark mode light mode Search Archivos descargables
Search

Cumpliendo con ISO 27002 y la Ley Fintech: Herramientas para tu DRP

Descubre cómo es que un plan de recuperación ante desastres es indispensable para cumplir y qué herramientas pueden ayudarte

Antes de comenzar tenemos que preguntarte: ¿ya tienes un plan de recuperación ante desastres (DRP)? Si es así, vas por buen camino. De lo contrario, te sugerimos hacer uno y aquí te explicamos como. También te dejamos una plantilla gratuita para ayudarte en el proceso:

Plan de recuperación ante desastres

Contar con un DRP es esencial para cualquier negocio y tanto la ISO 27002 como la Ley Fintech de México lo saben. De igual manera, sabemos que cumplir con todos los requisitos de este estándar y esta normativa puede volverse un poco complicado. 

Pero no te preocupes, para eso estamos aquí. Hoy vamos a hablar de qué es lo que necesitas para cumplir con ambas y qué herramientas pueden ayudarte a lograrlo.

Sí estás interesado en otras herramientas para cumplir échale un ojo a los otros artículos de esta saga:

?Herramientas de cumplimiento: Centralizadores de LOGS 

?Herramientas de cumplimiento: Firewalls y protección de dirección IP

?Análisis de código dinámico: ¿Qué herramientas usar para cumplir?

?Análisis de código estático: ¿Qué herramientas usar para cumplir?

Cumpliendo con ISO 27002

Para comenzar tengamos en cuenta que el DRP forma parte del Plan de Continuidad del Negocio (BCP). Por lo que contar con un BCP  es complementario a contar con un DRP. Si aún no tienes muy claro en qué consiste cada uno, puedes darle un leía a nuestra guía de BCP vs DRP

La ISO 27002 toma en cuenta dentro de sus controles que tengas un DRP efectivo. Esto quiere decir que debes contar con una estrategia para recuperar tus sistemas en caso de algún inconveniente. Esto, específicamente en los sub dominios A.17.1 y A.17.2. 

En el primero, preservar la continuidad de la seguridad de la información es el objetivo principal. Para poder lograr esto, tendrás que integrar la seguridad de la información a la continuidad y gestión de tu empresa. Esta sección abarca los siguientes controles:

A.17.1.1Planificación para la Continuidad de la Seguridad de la Información
A.17.1.2Implementación de la Continuidad de la Seguridad de la Información
A.17.1.3Verificar, revisar y evaluar los planes de continuidad del negocio

Dentro de estos controles podemos aplicar la redundancia. Esta técnica se refiere a tener un backup para hacer lo mismo. Es decir, si tienes un servidor que almacena toda la información de contacto de tus clientes, debes contar con otro que haga exactamente lo mismo. Así, en caso de una contingencia, puedes reemplazar el sistema que se cayó.  

Por otro lado, el control A.17.2.1, busca asegurar la disponibilidad de las instalaciones de procesamiento de información. O sea que no importa lo que pase, siempre debes de poder procesar la información.

Por ejemplo, digamos que eres fanático del fútbol y la Copa Mundial está por comenzar. Si cuentas con más de una televisión en tu casa, en caso de que se descomponga una, podrás contar con las demás para asegurarte de que el partido se reproduzca. 

Cumpliendo con la Ley Fintech

En cuanto a la Ley Fintech, en esta ocasión, nos enfocaremos en el Capítulo 5. Este capítulo habla de cómo hacer un BCP que esté alineado con una fintech.

Recordemos que un BCP busca salvaguardar la vida de las personas; literalmente su objetivo es salvar a la gente. Por ejemplo,  cómo evacuar tus oficinas en caso de incendio.

Antes de seguir, recapitulemos un poco y tomemos en cuenta que esta ley se divide en tres disposiciones:

  • Disposiciones de carácter general aplicables a las instituciones de tecnología financiera.
  • Disposiciones aplicables a las instituciones de fondos de pago electrónico.
  • Disposiciones de carácter general relativas a las interfaces de programación de aplicaciones informáticas estandarizadas. 

Puedes encontrar los requisitos mínimos para hacer un BCP en las primeras dos disposiciones, en los anexos 10 y 2  de cada una. 

Por otro lado los anexos 1 y 13 se enfocan en situaciones de “indisponibilidad de los sistemas.” Es decir, hablan sobre situaciones en las que tu sistema deja de funcionar. Es aquí donde entra el DRP a salvar el día. 

Recuerda que lo importante es contar con una solución para levantar el sistema de TI que se cayó o tener una infraestructura redundante (cómo el ejemplo de las televisiones). 

DRP: herramientas para la continuidad de tus sistemas

Para asegurar que tu DRP y por lo tanto, tu BCP funcionen te recomendamos trabajar con Terraform. Esta herramienta logra que la infraestructura de tus aplicaciones se lea como código

Terraform permite crear tu infraestructura como código desde backups. Así cuando haya un evento catastrófico, la infraestructura pueda deployarse nuevamente utilizando los últimos backups y manteniendo la integridad y estabilidad del sistema. Otras herramientas similares que puedes probar son Cloudformation o CDK de Amazon Web Services (AWS).

Sin embargo, nosotros te recomendamos Terraform como una herramienta más completa. Otra ventaja de tener infra as code, es que es fácilmente adaptable a otros proveedores de Nube. Así puedes migrar de un proveedor a otro. 

Una de las ventajas de Terraform, es que cuenta con proveedores extensibles, así puede administrar diversos recursos como, IaaS, PaaS y SaaS.

Un DRP siempre es una buena idea

Contar con un plan de recuperación ante desastres es un documento básico para tu empresa. Un DRP te permite estar listo en caso de que se caiga tu sistema, ahorrar en pérdidas y minimizar los inconvenientes que tu cliente pueda tener. 

A pesar de que es un documento bastante popular, contar con una herramienta que te ayude a ejecutar ese plan es siempre una buena idea. 

Hackmetrix newsletter ciberseguridad