Click here for English

DENVER – La ciudad necesita una estrategia tecnológica integral para garantizar la recuperación oportuna y eficaz de datos y sistemas en caso de que suceda un desastre, según una auditoría reciente del Auditor de Denver, Timothy M. O’Brien, Contador Público Certificado.

“Analizamos los sistemas de la ciudad con frecuencia y confío en los pasos que toma la agencia de Servicios de Tecnología para mantener seguros los datos de la ciudad en respuesta a nuestro trabajo”, dijo el Auditor O’Brien. “Sin embargo, vale la pena planificar con anticipación para el peor de los casos, ya que la ciudad debe hacerlo bien en todo momento mientras que los piratas informáticos solo deben hacerlo bien una vez para conseguir su objetivo”.

El equipo de auditoría encontró que la agencia de Servicios Tecnológicos de la ciudad no ha completado de manera efectiva una estrategia integral para priorizar los procedimientos de recuperación ante desastres para proteger las funciones esenciales de la ciudad. Los programas de recuperación ante desastres deben abordar la restauración de copias de seguridad, los sitios alternativos de procesamiento y almacenamiento de datos, las telecomunicaciones, los planes de comunicación y formación, así como las evaluaciones anuales de los programas.

Una planificación de desastres integral y bien diseñada puede ayudar a la ciudad a responder de manera más eficaz ante desastres como inundaciones, pandemias, accidentes tecnológicos o ataques cibernéticos. Los ciberataques son un factor de riesgo cada vez más común para cualquier entidad que puede costar tiempo, dinero y pérdida de datos y potencialmente puede causar daños más graves a las propiedades y a la vida de las personas.

El ejemplo más reciente de lo que puede suceder es el pirateo del Colonial Pipeline en el sureste de los EE. UU., que causó que las gasolineras se quedaran sin suministro durante días y que se produjeran oleadas de compras compulsivas debido al pánico. La población en Texas se quedó sin electricidad ni agua corriente en febrero de 2021, después de que un desastre natural saturara la infraestructura eléctrica y murieran al menos 57 personas. Otro ejemplo en 2019 fue un apagón provocado por el ser humano en Venezuela, donde una planificación inadecuada provocó apagones en hospitales y 26 muertes. En 2018, los empleados de la ciudad de Atlanta no pudieron acceder a los archivos durante cinco días mientras los ciberdelincuentes los retenían para pedir un rescate.

“Si se produce un desastre en toda la ciudad, debemos asegurarnos de que sabemos cuánto tiempo tardarán los sistemas clave en volver a ponerse en marcha”, dijo el Auditor O’Brien. “La agencia de Servicios de Tecnología está tomando medidas para mantener nuestros archivos seguros y con respaldo cuando se produzca una emergencia, pero mucha planificación nunca es excesiva en este caso”.

Aunque la agencia de Servicios de Tecnología tiene una política de recuperación ante desastres, esta no ha tenido prioridad en la planificación estratégica ni en las operaciones. Como consecuencia, hay una gobernanza inadecuada, un programa de recuperación de desastres que no es integral y carece de documentación y mantenimiento, y unas estrategias de comunicación y formación insuficientes.

Tanto si se trata de un desastre natural o causado por el hombre, al carecer de plan integral, una emergencia podría paralizar las operaciones de la ciudad, lo que causaría un tiempo de inactividad excesivo, pérdida de datos y daños irreparables a los sistemas. La planificación de contingencias ayuda a garantizar que los sistemas y los datos entren en funcionamiento lo antes posible para la continuidad de las operaciones de una organización.

Un plan integral debe incluir el desarrollo de métricas y metas medibles. Las métricas comunes incluyen objetivos de punto de recuperación, es decir, en caso de que ocurra un desastre, en cuánto tiempo deben recuperarse los archivos antes de que se produzca la interrupción. Las métricas también suelen incluir objetivos sobre el tiempo que deben tardar los sistemas clave en volver a estar en funcionamiento después de una interrupción y el tiempo de inactividad máximo tolerable.

Aunque no existe un programa integral de recuperación ante desastres, la agencia de Servicios de Tecnología ha logrado algunos avances, incluyendo el traslado a un centro de datos más moderno. El nuevo centro de datos proporcionará respaldo a toda la red en tiempo real.

Nuestro equipo de auditoría hizo varias recomendaciones. Entre ellas, recomendamos que la agencia de Servicios de Tecnología debe integrar a representantes de otras agencias en el comité de recuperación ante desastres, desarrollar un estatuto del comité, actualizar la documentación, desarrollar formaciones y mejorar su plan estratégico de recuperación ante desastres. El plan debería incluir metas con plazos definidos y que sean específicas, medibles y factibles.

La agencia de Servicios de Tecnología estuvo de acuerdo con todas nuestras recomendaciones.

Lea la auditoría

%d bloggers like this: