¿Qué debe tener un Plan de Recuperación de Desastres?

por Atalait el Dec 11, 2017 8:00:00 AM

7-cosas-que-debe-tener-un-plan-de-recuperacion-de-desastres.jpg

Las redes informáticas de una empresa y el acceso a sus datos pueden ser eliminados sin previo aviso, tanto por la ocurrencia de desastres naturales como por accidentes provocados por las personas. 

Desde luego, es imposible evitar que este tipo de eventualidades sucedan, pero un plan de recuperación de desastres puede preparar a cualquier organización para enfrentar adecuadamente lo inesperado.

Los huracanes, los tornados, los temblores, los incendios o las inundaciones no son ajenos a ningún entorno empresarial. De la misma forma, los ataques terroristas y los ciberataques están a la orden del día, son una de las principales preocupaciones de las empresas, según lo ha revelado el Horizon Scan Report, 2017.

Sabemos que estos escenarios podrían presentarse en cualquier momento y, por eso, es probable que cuentes con un plan de recuperación ante desastres (DRP, por sus siglas en inglés) para proteger la información y los datos fundamentales para tu empresa.

Pero, ¿cuán minucioso es tu DRP? ¿Cuándo fue la última vez que se actualizó y se probó? ¿Toma en cuenta las nuevas tecnologías y servicios que pueden facilitar la recuperación después de un desastre? A continuación te presentamos los 7 elementos que tu plan de recuperación ante desastres de TI debe incluir.

  1. Un análisis de todas las amenazas potenciales y posibles reacciones

Tu DRP debe tener en cuenta el espectro completo de "interruptores potenciales" para tu negocio, como aconseja Phil Goodwin, director de investigación de protección de datos, disponibilidad y recuperación para la firma de investigación International Data Corporation. Además, debe contemplar un plan de recuperación para cada escenario. Por ejemplo, si hay un ataque cibernético que apaga los servidores, ¿tienes un plan de transición para este escenario?

Es evidente que no todos los escenarios tienen la misma probabilidad de ocurrir. Por ello es recomendable que tratemos de anticipar cuáles posibles disruptores son los más probables. Lamentablemente, los ciberataques se están convirtiendo en "el escenario más probable" en estos días. Por lo tanto, es posible que desees dar prioridad a la planeación de ataques cibernéticos sobre algunos disruptores naturales en tu planificación. Desde luego, esto depende de la estructura específica de cada organización.

  1. Un análisis de impacto empresarial (BIA, por sus siglas en inglés)

Para determinar de manera efectiva las prioridades del DRP, debes colocar cada sistema de información principal a través de un análisis de impacto comercial. Un análisis de impacto empresarial identifica y evalúa los efectos potenciales de eventos naturales y de aquellos inducidos por el hombre en las operaciones de una empresa.

En este sentido, completar un BIA para los principales sistemas de TI permitirá la identificación de las prioridades y dependencias del sistema. Así, tendremos las información necesaria para realizar la priorización de los sistemas y podremos contribuir al desarrollo de estrategias de recuperación para minimizar pérdidas.

Un BIA efectivo debe examinar tres objetivos fundamentales de seguridad: confidencialidad, integridad y disponibilidad .

Un BIA ayuda a establecer prioridades para la recuperación de desastres, la continuidad del negocio y/o la continuidad de los planes de operaciones. Un enfoque estándar para desarrollar un plan integral de recuperación de desastres requiere primero el desarrollo de la planeación para luego realizar el BIA. Después es necesaria la jerarquización de las prioridades de recuperación con el BIA, lo que permite que las estrategias de contingencia se desarrollen y formalicen.

  1. Personas

Un error común que muchas organizaciones cometen en sus DRP es que se centraran demasiado en la tecnología y no lo suficiente en las personas y el proceso. Las TI son un habilitador, no debemos olvidar que no solo se trata de recuperar datos y servidores. Además, debemos pensar en la construcción de un DRP que contemple el contexto completo de la organización. Debemos considerar ¿qué comportamientos necesitaremos de nuestro personal? ¿Qué requieren los sistemas y los equipos para volver a funcionar después de un desastre?

Por otro lado, es imprescindible que logremos identificar por su nombre a las personas críticas encargadas de responder a una crisis. Hay que asegurarnos de tener siempre preparados algunos elementos específicos:

  • Los correos electrónicos y los números de teléfono celular y casa de cada persona clave.
  • Los nombres de las personas que llamaremos para trabajar durante una crisis.
  • La información de las personas a las que llamaremos para obtener ayuda.
  • Las condiciones de aplicación de la legislación correspondiente.
  • El establecimiento de una relación con las autoridades competentes antes de que ocurra un desastre.
  • La decisión, de antemano, de quién hablará en nombre de la compañía a los clientes y empleados en caso de un desastre. Esta persona debe saber lo que se planea decir, qué vamos a revelar y cómo es que esto tranquilizará a quienes estén nerviosos por la crisis.
  1. Actualizaciones

Otro gran error que cometen las organizaciones es no actualizar sus planes de recuperación después de realizar cambios en sus sistemas internos, como las actualizaciones de software. Un plan de recuperación ante desastres no está completo a menos que tenga en cuenta todas las tecnologías, sistemas y aplicaciones actualmente en uso.

También, es posible que haya nuevas tecnologías u ofertas que se presenten desde que se generó el DRP. Los DRP se basan en suposiciones sobre los procesos y herramientas disponibles en el momento en que se finalizan los planes. Pero esas suposiciones pueden cambiar significativamente, la evolución de la tecnología es más rápida que nunca y las innovaciones surgen de lugares poco probables.

7-cosas-que-debe-tener-un-plan-de-recuperacion-de-desastres-2.jpg

Los avances en informática, los algoritmos predictivos y la disponibilidad de una gran capacidad de cómputo a un precio razonable permiten la aparición de nuevos enfoques y soluciones para garantizar la resistencia, el tiempo de actividad, la disponibilidad y la recuperación ante desastres de los sistemas de TI.

  1. Prioridades

Debemos identificar qué es lo más importante para nuestra organización, cuáles son los elementos críticos que permiten el funcionamiento básico de la empresa. Desde luego, no todo lo que hay en el negocio necesita de una protección extrema. La información patentada, por ejemplo, es el tipo de información valiosa que debe estar contemplada en un DRP. Sin embargo, la información que se haya preparado para su difusión pública no es tan importante. Debemos pensar en esto como si la casa estuviera en llamas. ¿Qué debemos tomar cuando salimos corriendo por la puerta?

  1. Simulacros de práctica regular

Uno de los elementos más importantes de un DRP es la ejecución de pruebas en escenarios reales. Contar con un plan de acción, la tecnología apropiada y el personal preparado para enfrentar situaciones críticas no es suficiente. El plan necesita ser probado con regularidad y las personas deben practicar los procedimientos, al igual que una escuela prepara a sus estudiantes para los simulacros de incendio y emergencia de forma regular. Si no se practica regularmente, el plan no es efectivo.

La ejecución de los planes y la puesta en marcha de las tareas que corresponden a cada persona y grupo dentro de la organización revela la efectividad de los planes de recuperación, si los procedimientos, los recursos tecnológicos o las personas fallan, la empresa fracasa. No es necesario esperar a que ocurra una emergencia real para saber si seremos capaces de solucionar cada problema, para ello se deben llevar a cabo ejercicios de simulación con regularidad.

  1. La consideración del Disaster Recovery as a Service (DRaaS)

La práctica creciente de mover las operaciones de datos a una nube ha ayudado a dar lugar a la recuperación de desastres como un servicio (DRaaS). Estos servicios han hecho que la implementación de los DRP sea más fácil y económica, lo que a su vez está permitiendo que más organizaciones estén mejor preparadas para los desastres.

Al considerar el DRaaS, debemos preguntarnos cómo el proveedor probará y validará la recuperación de nuestros datos y de los flujos de trabajo, ya que algunas pruebas son más extensas que otras.

¡No esperes más!

El mayor error que cometen la mayoría de las compañías es esperar a que se presente un ciberataque o un desastre para descubrir qué hacer a continuación. En los años de experiencia que tenemos, nunca hemos visto a nadie despedido de una empresa por una violación de datos. Pero hemos visto a muchas personas despedidas por su fracaso para responder adecuadamente a una violación. No queremos que el siguiente despedido seas tú.

Descarga nuestro ebook “La importancia de poner a prueba un disaster recovery plan, DRP” para saber más sobre los planes de recuperación ante desastres.

La importancia de poner a prueba un disaster recovery plan, DRP lecciones prácticas