Un plan de recuperacion ante desastres

Un plan de recuperación ante desastres (DRP) es un proceso documentado o conjunto de procedimientos para recuperar y proteger la infraestructura tecnológica de una empresa en caso de un desastre.
Llamamos desastre a cualquier causa que afecte a esta infraestructura (datos, hardware o software) ya sea natural, intencional o involuntario, e impida la continuidad del negocio.
Dada la creciente dependencia de las empresas a la tecnología de la información para dirigir sus operaciones, un plan de recuperación de desastres cobra cada día más relevancia, y por lo tanto, es indispensable que toda empresa disponga de él. Según IBM de las empresas que han tenido una pérdida principal de registros automatizados, el 43 % nunca vuelve a abrir, el 51 % cierra en menos de dos años y sólo el 6 % sobrevivirá a largo plazo.

El plan de recuperación de desastres está incluido dentro de un plan integral de organización de empresa llamado Plan de Continuidad de Negocio o Business Continuity Plan (BCP) que incluye los siguientes componentes principales:

Plan de reanudación de negocios
Plan de emergencia del personal
Plan de continuidad de operaciones
Plan de manejo de incidentes
Plan de recuperación de desastres

El Disaster Recovery Institute International (DRII) afirma que la recuperación de desastres es el área de la continuidad del negocio que se ocupa de la recuperación de la tecnología en lugar de la recuperación de las operaciones comerciales.

Objetivos

La Dirección de la empresa debe tomar la decisión de emprender el plan como un proyecto para así satisfacer los siguientes objetivos:

Determinar la vulnerabilidad a las interrupciones del servicio importantes en el centro de datos e instalaciones de negocios y definir las medidas preventivas que se pueden tomar para reducir al mínimo la probabilidad y el impacto de las interrupciones.
Identificar y analizar el coste, servicio, la imagen pública y otras consecuencias de las interrupciones prolongadas del servicio en el centro de datos y otras instalaciones empresariales.
Determinar las necesidades inmediatas, a medio y largo plazo, de recuperación y los recursos necesarios.
Identificar las alternativas y seleccionar los métodos más rentables para proporcionar la función de las operaciones de copia de seguridad y la restauración de un servicio a tiempo.
Desarrollar e implementar planes de contingencia que se ocupan de las necesidades inmediatas y de largo plazo para el centro de datos y otros servicios empresariales.

Todo esto nos ayudará a completar el objetivo principal de un DRP que es reducir al mínimo el tiempo de inactividad tecnológica y la pérdida de datos con una recuperación ordenada después de un desastre.

Para minimizar el tiempo de inactividad y la pérdida de datos hay que tener en cuenta los siguientes conceptos:

Objetivo de Tiempo de Recuperación (RTO, Recovery Time Objective) es el tiempo en el que el proceso de negocio debe estar restaurado después de un incidente grave, con el fin de evitar consecuencias inaceptables derivados de una ruptura en la continuidad del negocio. Para reducir el RTO, se requiere que la Infraestructura (tecnológica, logística o física) esté disponible en el menor tiempo posible pasado el evento de interrupción.

Objetivo de Punto de Recuperación (RPO, Recovery Point Objective) es la edad de los archivos que se deben recuperar de almacenamiento de copia de seguridad para las operaciones tras un incidente grave. El RPO se expresa hacia atrás en el tiempo (es decir, en el pasado) desde el instante en que el incidente se produce, y puede ser especificado en segundos, minutos, horas o días, por lo tanto, es la cantidad máxima aceptable de pérdida de los datos medidos en el tiempo. Para reducir un RPO es necesario aumentar el sincronismo de réplica de datos.

Metodología de un Plan de Recuperación ante Desastres (DRP)

Como comentábamos anteriormente, un DRP es un proyecto empresarial de contingencia ante desastres. Su método de gestión en este caso depende de varios departamentos de una empresa y de diferentes fases: analizar, desarrollar, ejecutar y mantener.

Lo primero que se debe realizar es un análisis de impacto al negocio (BIA). Éste es básicamente un informe que nos muestra el coste ocasionado por la interrupción de los procesos de negocio que se incluye en el Plan de Continuidad de Negocio (BCP). Con este informe la compañía tiene la capacidad de clasificar los procesos de negocio en función de su criticidad y lo que es más importante: establecer la prioridad de recuperación (o su orden secuencial).

Hay tres aspectos claves para el análisis:

Criticidad de los recursos de información relacionados con los procesos críticos del negocio.

Período de recuperación crítico antes de incurrir en pérdidas significativas.
Sistema de clasificación de riesgos.

La estructura debería contener los siguientes puntos:

Pre-Planificación de actividades: Plan de trabajo
Evaluación de la vulnerabilidad: Informes de evaluación de la seguridad.
Análisis de Impacto al Negocio.
Definición detallada de los requisitos: Necesidades de recuperación, ámbito de aplicación, objetivos y supuestos.
Plan de Desarrollo: Centro de datos, reanudación de unidades de negocio, normas de recuperación, backups, etc..
Programa de Pruebas: Estrategias de ensayo, objetivos de pruebas y ejercicios.
Programa de Mantenimiento: Procedimientos de actualización.
Prueba Inicial e Implementación.

Tanto el tratamiento de la información como los entornos de negocio están en constante cambio y cada vez están más integrados y son más complejos. Los planes de recuperación deben seguir el ritmo de estos cambios por lo tanto, deben ser tratados como documentos vivos. Pruebas y ejercicios continuos de los planes son esenciales para que la empresa se asegure de que la capacidad de recuperación se mantiene en dicho entorno. La empresa también debe asegurarse de que el personal con responsabilidades de recuperación están preparados para ejecutar los planes.


Personal implicado

Un DRP no se puede lograr sin personal dedicado a tiempo completo con la responsabilidad de mantener los planes, la coordinación de los componentes y las pruebas. Debe estar capacitado para asumir responsabilidades de recuperación y actualización de los planes, para reflejar los cambios en el procesamiento de la información y entornos empresariales.

Mayoritariamente el personal implicado en el desarrollo de un DRP es el del departamento de Sistemas de Información y el equipo de Soporte Técnico:

Redes y Comunicaciones
Gestión de Instalaciones
Desarrollo y soporte técnico
Administrador de bases de datos
Administrador de sistemas
Sistemas de seguridad de la información
Operaciones
Soporte de redes
Implementación de redes






Beneficios

Hay grandes beneficios que se pueden obtener a partir de la elaboración de un plan de recuperación de desastres. Algunos de estos son:

La capacidad de proteger los sistemas críticos para la empresa.
Reducción de pérdidas tras un incidente.
Garantizar la fiabilidad de los sistemas de reserva.
Proporcionar un sentido de seguridad.
Minimizar el riesgo de retrasos.
Proporcionar un estándar para probar el plan.
Minimizar la toma de decisiones en caso de desastre.
La reducción de las posibles responsabilidades legales.
Mejora de la eficiencia general de la organización y la identificación de la relación de bienes y recursos humanos y financieros para los servicios críticos.


Todas las organizaciones están en riesgo de padecer cualquier desastre que haga perder los activos correspondientes a la información de su negocio. Un Plan de recuperación es una herramienta que permite a las empresas no perder información crítica y seguir ofreciendo servicios a pesar de una interrupción.