¿Por qué una compañía necesita un Plan de Recuperación ante Desastres?
Conforme las organizaciones confían cada vez más en la tecnología para realizar sus operaciones diarias, el riesgo de perder esta información y ver destruida su infraestructura aumenta proporcionalmente.
Una forma en la que compañías pueden prepararse para protegerse mejor es creando un Plan de Recuperación ante Desastres (DRP por sus siglas en inglés), el cual debe lidiar con cualquier tipo de eventualidad catastrófica, ser fácil de entender y seguir, y estar hecho a la medida de las necesidades de la organización.
¿Qué es un plan de recuperación ante desastres (DRP)?
Se trata de un documento formal que contiene instrucciones detalladas sobre cómo responder a incidentes no planeados, como desastres naturales, cortes de energía, ciberataques y otros eventos que pongan en peligro la integridad de la compañía. El plan contiene también estrategias para minimizar los efectos de un desastre, para que así la organización pueda seguir operando o lo haga cuanto antes.
El tiempo de inactividad puede derivar en pérdidas monetarias, daño en la reputación y clientes insatisfechos. Entre más tiempo tarde la recuperación, mayor será el daño. Por esta razón, un Plan de Recuperación ante Desastres debe ofrecer una rápida vuelta de las operaciones.
El plan resulta más completo que uno de continuidad del negocio, ya que este último no necesariamente cubre todas las contingencias, procesos, activos, recursos humanos y socios.
Debido a la continua sofisticación de los ciberataques, la importancia de un Plan de Recuperación ante Desastres se ha hecho más evidente. Las estadísticas muestran que muchos ataques permanecen sin detectar hasta por 200 días, tiempo más que suficiente para implantar malware e infectar los respaldos. Incluso después de la detección del ciberataque, la eliminación de un virus esparcido por toda la organización puede ser sumamente complicado.
Consideraciones para la creación de un DRP
Una estrategia de recuperación debe determinar cuáles son las aplicaciones más importantes para la compañía. Aquí es donde entran algunas métricas que hay que tener en cuenta. El Tiempo Objetivo de Recuperación (RTO) describe el tiempo que una aplicación empresarial puede permanecer inactiva; usualmente se mide en horas, minutos y segundos. El Punto Objetivo de Recuperación (RPO) describe de qué tan atrás son los archivos que deben recuperarse del respaldo para que las operaciones normales puedan reiniciar.
Las estrategias de recuperación definen la planeación que seguirá la compañía para responder a un incidente, mientras que el Plan de Recuperación ante Desastres describe el cómo. Por tanto, el segundo se origina de las primeras.
Para determinar la estrategia, una organización debe considerar lo siguiente:
- Presupuesto.
- Cobertura del seguro.
- Recursos (personas e instalaciones).
- La posición de la gerencia en cuanto a los riesgos.
- Tecnología.
- Datos.
- Requerimientos de conformidad.
Por supuesto, todas las estrategias deben alinearse a los objetivos de la compañía. Una vez aprobadas, estas se traducen en el Plan de Recuperación ante Desastres
También lee: BCDR y los principales desafíos para asegurar la continuidad del negocio
Construyendo el plan y poniéndolo a prueba
El plan debe resultar de la coordinación entre los miembros del equipo de TI responsables de la infraestructura de la organización. Tanto el CEO como los directores de cada departamento deben conocerlo a detalle.
Fuera de la compañía, la información de los proveedores asociados con los esfuerzos de recuperación debe estar plasmada en el documento, así como la de los cuerpos de emergencia.
Después de que el plan haya sido aprobado, este tiene que ponerse a prueba y actualizarse si es necesario. Sesiones para revisarlo, así como auditorías para evaluarlo, deben agendarse continuamente.
Cuando finalmente ocurre un desastre, la respuesta debe ser inmediata. El equipo de respuesta a incidentes (distinto al que se encarga de desarrollar la planeación de recuperación) debe contar con una copia del plan. Así, la situación se evalúa para determinar qué hardware y software resultó afectado, dando paso a la recuperación de los sistemas y su eventual seguimiento.
También lee: La mitad de las organizaciones no prueban sus planes de respuesta ante incidentes
En resumen, un plan de recuperación ante desastres debe:
- Crear un equipo de respuesta ante desastres. Responsable de desarrollar, implementar y mantener el plan.
- Identificar y evaluar los riesgos potenciales. Esto permitirá al equipo identificar los recursos requeridos para la recuperación dentro de un tiempo aceptable.
- Determinar cuáles son las aplicaciones, documentos y recursos más importantes. El plan debe enfocarse en la acciones que garanticen la supervivencia a corto plazo, como la generación de ingresos, en lugar de una solución a largo plazo para restaurar el funcionamiento total de la compañía.
- Especificar los procedimientos de respaldo. Estos incluyen qué, por quién, cómo, dónde y con qué frecuencia.
- Probarse y mantenerse. Los riesgos y emergencias cambian constantemente, por lo que se recomienda que la organización pruebe el plan constantemente para verificar su efectividad.
Muchas organizaciones encuentran varias dificultades para mantener al día sus estrategias de recuperación. En un mundo conectado 24/7, estas pueden obtener una ventaja competitiva, o perderla, dependiendo de qué tan rápido puedan recuperarse de un desastre y restaurar sus unidades de servicio principales.