¿Qué es un DRP?
Con el paso de los años, cada organización tiene la necesidad de ir creciendo con la ayuda de la tecnología, mejorando el procesamiento y uso de la información. Sin embargo, ante una contingencia -donde ocasionará la pérdida de datos-, pudieran surgir las siguientes cuestiones:
-
¿Cuáles son las estrategias de comunicación que se tienen para notificar a los colaboradores y clientes cuando se ha declarado un desastre en la organización?
-
¿Dónde pueden trabajar nuestros colaboradores en caso de que no tengan acceso a la información de la organización?
-
¿Existe un análisis de impacto que determine cuáles son los servicios críticos de la organización?
-
¿Cómo se protege y recupera la información importante y crítica de la organización?
-
¿Están documentados los pasos a seguir en caso de presentarse algunos escenarios donde haya pérdida al acceso de la información o de ésta?
-
¿Hay pruebas o simulacros de recuperación y/o restauración de datos?
Hoy en día hay diversas causas que pudieran ocasionar la pérdida de datos en una organización:
Eventos por la naturaleza:
-
Huracanes
-
Inundaciones
-
Terremotos
-
Incendios
-
Explosiones
Eventos generados por el hombre:
-
Saboteo
-
Fraude,
-
Ataques terroristas
-
Ataques maliciosos, etc.
Al presentarse alguno de ellos puede traer consigo la pérdida de la información, de la identidad, desviación de fondos, falsificación de datos, errores en la información, caídas en el servicio, etc.
Sin embargo, el desastre es un maestro versátil que puede atacar en más de un sentido.
Vale la pena mencionar que el 40% de las empresas nunca vuelve a abrir después de un desastre (Fuente: FEMA). A veces, incluso con un DRP, las empresas con una solución de continuidad empresarial deficiente simplemente no se pueden recuperar a tiempo para reparar el daño infligido a su negocio.
¿Qué es DRP?
DRP es la abreviatura de plan de recuperación de desastres. Son las medidas que se toman desde un punto de vista operacional y de TI para respaldar los datos de la empresa en caso de una interrupción por el clima, piratería o error humano.
¿Quién necesita el Plan de recuperación de desastres?
Toda empresa necesita alguna forma de DRP. En un mundo cada vez más digital, los activos más importantes de una empresa se almacenan como datos dentro de infraestructura. Incluso un simple apagón de una hora puede causar estragos en la capacidad de su negocio para volver a funcionar sin medidas básicas de recuperación de desastres.
¿A dónde debe llegar el alcance de un Plan de recuperación de desastres?
Las empresas necesitan establecer sus RTO (Recovery Time Objectives - Tiempo Objetivos de Recuperación) y RPO (Recovery Time Objectives - Punto Objetivo de Recuperación). Saber cuánto puede durar la empresa sin sus datos es importante porque ayuda a desarrollar un plan que sea rentable, al tiempo que cumple sus objetivos comerciales. Un buen plan de recuperación de desastres hace más que solo anticipar la pérdida de datos. Evalúa los riesgos de pérdida de datos en toda la organización dentro de cada departamento.
¿Cuándo debería una empresa desarrollar un DRP?
Si tu empresa no tiene un DRP, o si tu eres parte del 40% de las compañías cuyo DRP no funcionó cuando fue necesario, debes desarrollar un plan de recuperación de desastres tan pronto como sea posible.
La pregunta más importante: ¿Por qué necesitas un DRP?
Un plan de recuperación de desastres es el nivel de protección más básico que puedes aprovechar para respaldar el negocio después de que sea golpeado por un desastre, provocado por el hombre o de otra manera. Ningún negocio, en cualquier parte de mundo, es inmune a las interrupciones, sin embargo, todavía hay un número relativamente sorprendente de organizaciones (el 75% para ser exactos) que aún no cumplen con la preparación para desastres (Fuente: Consejo de Preparación ante Desastres).
Diferencias entre el DRP y BCP
En ocasiones, suelen utilizarse de manera indistinta los términos BCP y DRP cuando se hace referencia a planes encaminados a restablecer las operaciones primordiales de una organización en caso de alguna contingencia. Sin embargo, existen diferencias sustanciales entre un plan y otro, y la principal característica que permite identificarlos es su alcance.
Ambos son componentes utilizados para contribuir a que los sistemas esenciales para el funcionamiento de la organización, estén disponibles cuando sean necesarios, con la característica de que el DRP se limita a los procesos e infraestructura de TI de la organización y está considerado dentro del BCP.
Por su parte, la continuidad del negocio está encaminada a describir los pasos a seguir por una organización cuando no puede funcionar de manera normal debido a un desastre natural o uno causado por el hombre. El BCP puede ser escrito para un proceso de negocio específico o para todos aquellos de misión crítica, y se compone de un conjunto de planes, incluido el DRP.
Otros planes que lo conforman, como el de reanudación del negocio (BRP), emergencia de ocupantes (OEP) y continuidad de operaciones (COP) no están relacionados con la infraestructura y procesos de TI.
El Plan de Gestión de Incidentes (IMP) que también está incluido en el BCP, está relacionado con TI y establece la estructura y los procedimientos para hacer frente a algún incidente de seguridad de la información, aunque generalmente no involucra la activación del DRP. La siguiente imagen muestra los planes considerados en el BCP.
Entonces, la recuperación ante desastres se enfoca en el restablecimiento de los sistemas e infraestructura de TI que soportan los procesos de negocio críticos después de eventos de interrupción, mientras que la continuidad del negocio está orientada a la recuperación de los procesos de negocio críticos que son necesarios para la operación, por lo que no solo incluye lo anterior, sino también todos los demás aspectos operativos necesarios dentro de la organización.
Desarrollo y activación del DRP
Existen diferentes maneras de abordar el desarrollo de un plan de recuperación, pero éste siempre debe estar alineado con el plan de continuidad, por lo que debe considerar los elementos que definen la razón de ser de una organización.
Además, el DRP debe incluir los criterios para determinar cuándo un incidente de seguridad no se puede resolver mediante los procedimientos comunes de atención y se considera como un desastre, es decir, cuando se presenta un evento catastrófico y repentino que nulifica la capacidad de las organizaciones para llevar a cabo los procesos esenciales.
Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida total de una instalación o la incapacidad de los empleados para acceder a las instalaciones, generado por algún tipo de desastre natural, una contingencia sanitaria o una huelga, por ejemplo.
Una propuesta para el desarrollo y aplicación del DRP se considera en los siguientes 15 puntos:
1. Identifica los procesos comerciales críticos
¿Qué procesos comerciales son imprescindibles para la continuidad del negocio y cuánto tiempo puede sobrevivir sin ellos?
2. Etiqueta dependencias
Esboza las aplicaciones de las que dependen sus procesos comerciales y diagnostique el tiempo de inactividad máximo de cada aplicación según corresponda.
3. Define aplicaciones vitales
Haz una lista de las aplicaciones con el tiempo de restauración más urgente.
4. Evalúa tu estrategia actual de recuperación de datos
Considere que servicios están en alta disponibilidad, que servicio requieren de hacer algún remplazo, cuáles son los que requieren restauración de copias de seguridad, e investigue de cerca sus debilidades o riesgos actuales dentro de cada una de esas áreas.
A continuación, debe haber reunido suficiente información para determinar sus requisitos de tiempo de recuperación.
5. Realiza un análisis de impacto empresarial (BIA)
Llevar a cabo un BIA permite medir el impacto del tiempo de inactividad para las áreas afectadas del negocio, determinar los requisitos de disponibilidad, estimar el costo del tiempo de inactividad (pérdida de ventas, reducir la confianza del cliente, etc.) e identificar niveles legales de cumplimiento con respecto a la seguridad de los datos.
6. Define los puntos objetivo de recuperación (RPO)
El RPO se refleja priorizando las dependencias de datos de su negocio para garantizar que el último momento en el que se realizó una copia de seguridad o una copia de seguridad válida y que los datos se puedan restaurar se alineen con las necesidades de su negocio.
7. Detecta los tiempos objetivos de recuperación (RTO)
RTO es la cantidad de tiempo después de la corrupción de datos o falla de hardware en la que se desea la restauración completa.
8. Designa el tiempo de inactividad máximo tolerable (MTD)
El MTD representa el tiempo máximo absoluto durante el cual sus aplicaciones, datos o hardware más importantes pueden no estar disponibles antes de que se haya producido un daño irreversible o comienza a perder su negocio.
Ahora es el momento de probar las hipótesis y tomar conciencia de sus lagunas o debilidades tecnológicas. Si los riesgos son altos, puede ser necesario invertir en soluciones más innovadoras.
9. Evalua los riesgos
Es crucial para el éxito del DRP conocer los posibles riesgos que enfrentan los puntos únicos de falla, como la pérdida de datos. Crea un cuadro de riesgo / impacto para registrar los riesgos y clasificar su prioridad.
10. Pon a prueba tu teoría
Prueba tu estrategia de DRP y realiza un análisis de brecha tecnológica de tus RPO, RTO y MTD actuales versus deseados.
11. Rediseña de acuerdo a lo observado
¿Tu DRP se ve obstaculizado por soluciones antiguas, vehículos de recuperación de datos inadecuados o sistemas de archivo deficientes? Quizás es hora de visitar una tecnología más innovadora. Prioriza las inversiones necesarias para cerrar las brechas y acerté cargo las áreas de riesgo.
12. Implementa nuevas soluciones
Crea un cronograma de implementación que describa el plan para incorporar esas nuevas soluciones en un DRP efectivo.
Una vez que tenga esto en orden, puede comenzar a construir un plan de respuesta estratégico y delegar roles y responsabilidades a un equipo.
13. Desarrolla un procedimiento de respuesta de emergencia
Crea instrucciones paso a paso que definan los criterios y procedimientos para responder, logrando una recuperación completa y restaurando las operaciones a actividad normal.
14. Alinea procedimientos
Crea definiciones para ‘Situaciones de Gravedad’ y asigna reglas de escalamiento para los procedimientos que puedan ser necesarios para cumplir con los requisitos de línea de tiempo de DRP y MTD de acuerdo con varios escenarios de desastre.
15. Forma un equipo
Designa roles y entrena a los elegidos para responder en consecuencia. Supervisa el éxito de los procedimientos establecidos para garantizar que se siga el DRP para evitar fallas de recuperación.
Beneficios de diseñar e implementar el “DRP”
Algunos de los beneficios que podrá gozar tu organización al hacer un “DRP”, a parte de los ahorros del esfuerzo, tiempo y dinero:
-
Mantener la continuidad de los servicios relacionados con la TIC del negocio:
-
Proteger al negocio de fallas generales en los servicios informáticos.
-
Minimizar los riesgos generados por la falta de servicios.
-
Garantizar el acceso de la información empresarial.
-
Mantener la disponibilidad de los recursos informáticos.
-
Minimizar la toma de decisiones erróneas al presentarse algún desastre.
-
Dar atención continua a los clientes, proveedores, accionistas, colaboradores.
-
Tener capacidad de recuperación exitosa.
Conclusiones:
Cuando una organización va creciendo con el apoyo de la tecnología y va tomando las medidas necesarias para proteger su información y establece las estrategias pertinentes (mediante un DRP) para recuperarla en caso de alguna contingencia (desastre, siniestro), podrá asegurar la continuidad de sus servicios y asegurar la atención de sus clientes, manteniéndose al día con la exigencia de su mercado. De manera general, las organizaciones que desarrollan los planes de recuperación deberán considerar los esfuerzo y recursos a su alcance, los servicios previamente identificados y que se desean recuperar tan pronto como sea posible, así como los tipos y severidad de las amenazas que enfrenta la organización y pueden llegar a convertirse en un problema de mayor magnitud para la misma.
Desarrollar este plan no es un tema trivial, requiere de tiempo, apoyo de la dirección y al final (y como todo) un cambio en la cultura de la empresa. Normalmente vas a requerir apoyo de un externo para que te ayuden a definir algunos procesos o si requieres de hardware, la elección de tus nuevos componentes. Además de que en las pruebas necesitas de alguien imparcial para que no te vuelvas juez y parte de tu plan. Ahora bien, debes estar probando tu plan al menos una vez al año, ya que el ambiente de TI es muy dinámico y tener tu plan al día es tu mejor escudo para mantener el negocio a flote después de un incidente grave.
Otro beneficio que olvidaba mencionar es que el tener un plan te dará ventajas en cualquier auditoría a tu compañia, ya que es una de las preguntas obligadas ya sea que te certifiques en ISO, ITIL, COBIT, ISO27001, etc.
Referencias Bibliográficas:
https://www.welivesecurity.com/la-es/2014/10/14/plan-de-recuperacion-ante-desastres/
https://centretechnologies.com/the-5-ws-of-drp/
https://centretechnologies.com/15-steps-designing-successful-disaster-recovery-plan/