Disaster Recovery Plan

La operatoria de una organización puede interrumpirse por múltiples razones: fenómenos naturales, caídas en el servicio del suministro eléctrico, fallas humanas o ataques cibernéticos. Aunque es imposible evitar estos imprevistos, contar con un Disaster Recovery Plan (DRP) garantiza que la reanudación de las actividades sea en el menor tiempo posible y con la menor pérdida de información. Pero ¿qué acciones se deben implementar para crear un DRP eficiente? Te lo contamos en esta nota. Disaster Recovery Plan: nadie está totalmente a salvo Independientemente de la tecnología que utilice y de las medidas que ponga en marcha para mitigar el riesgo, la realidad demuestra que los sistemas de cualquier empresa pueden verse interrumpidos de forma inesperada como consecuencia de hechos imprevistos, tales como errores de seguridad, fenómenos naturales (terremotos, fuertes tormentas), fallas humanas, incompatibilidades de sistemas y ataques cibernéticos que facilitan el acceso malintencionado de terceros. La detención de las operaciones empresariales produce inconvenientes en la operatoria y en la atención al cliente. Esto perjudica no solamente la rentabilidad de las compañías, sino también la reputación. Diseñar un Disaster Recovery Plan ayuda a mitigar las consecuencias negativas de la interrupción. Se trata de un documento formal en el cual las organizaciones describen cuáles son los procedimientos a seguir para reanudar las operaciones del área IT en caso de paradas no previstas, con el objetivo de minimizar los efectos negativos. El plan de recuperación ante desastres, que forma parte del plan de continuidad del negocio (BCP), les permite a las compañías: Garantizar la continuidad empresarial. Un DRP propicia el reinicio rápido y seguro de los datos y de los sistemas de seguridad, lo que permite retomar las operaciones de manera habitual en el menor tiempo posible. Mejorar la seguridad del sistema. Combinar los backups, los procesos de restauración y la protección de los datos en un plan de recuperación integral limita el impacto del malware, ransomware y otros riesgos de seguridad IT. Retener clientes. Cuanto mayor sea el tiempo de inactividad de los sistemas, mayor será el descontento de los clientes que cuestionarán la fiabilidad de los servicios de la organización. Un DRP permite manejar con éxito los imprevistos, reforzando la imagen positiva de cara a los usuarios. Reducir los costos de implementación. Si no es solucionado en tiempo y forma, un imprevisto puede causar serias consecuencias. Un Disaster Recovery Plan sólido ayuda a evitar pérdidas innecesarias, propiciando el regreso a la normalidad en tiempos optimizados. ¿Cómo crear un DRP? Para diseñar un plan de recuperación ante desastres efectivo, es necesario dividir su creación en 5 pasos específicos. Primer paso: Definir el alcance y el objetivo Lo primero que hay que hacer es establecer qué es lo que la compañía quiere lograr con la ejecución del plan y los componentes tecnológicos que formarán parte de la planificación, o sea, todos aquellos que sean sistemas o aplicaciones críticas para el correcto desarrollo operativo. Segundo paso: Diseñar las estrategias de recuperación Una vez definidos los objetivos y el alcance, llega el momento de crear alternativas que garanticen la disponibilidad de los recursos IT ante una interrupción imprevista. Lo mejor es crear estrategias diferentes para los distintos escenarios de incidentes que se pudieran presentar (falla en el software, caída del sistema operativo o de procesamiento de datos, caída de la base de datos, etc.). Por ejemplo, ante la caída de la base de datos, se pueden plantear tres estrategias de recuperación diferentes: infraestructura alternativa (sitio de contingencia), backup de información y cambio de ruteo de servidores. Tercer paso: Diseñar los procedimientos a seguir para cada estrategia ¿Ya se crearon las estrategias? Es hora de describir los pasos que se deben seguir para lograr restaurar la tecnología de acuerdo al escenario que plantee el incidente. Siguiendo el ejemplo anterior, una vez escogida la estrategia a implementar para resolver la caída de la base de datos, el procedimiento de recuperación puede incluir diferentes pasos como contactar al equipo de desarrollo, realizar el respaldo extraordinario de la base de datos y el snapshot de los servidores, propiciar un ambiente de seguridad en la base de datos verificando que haya espacio disponible en disco, revisar los logs y las alertas, identificar y corregir problemas, realizar pruebas e implementar modificaciones si es preciso, restaurar la última versión de la base de datos y notificar al responsable operacional y a los usuarios. Cuarto paso: Establecer métricas de RPO y RTO El Recovery Point Objetive o RPO (tiempo máximo aceptable que puede transcurrir entre que se realizó la última copia de seguridad y el incidente) y el Recovery Time Objective o RTO (tiempo que un negocio precisa para recuperar sus sistemas después de una interrupción imprevista) son dos elementos clave de un Disaster Recovery Plan. Si bien ambos ayudan a crear estrategias viables para el negocio, no existe una solución unívoca que se adapte a todas las organizaciones, ya que estos factores dependen de las necesidades operativas de cada empresa. Quinto paso: Testear, revisar y mantener Un plan de recuperación no es un documento que se confeccione una única vez para quedar en el olvido. Para que sea efectivo, es necesario actualizarlo al menos una vez al año, o bien cada vez que haya cambios sustanciales en los recursos IT. Asimismo, es preciso testearlo anualmente para verificar que continúa siendo efectivo. Hacerlo permite no solamente detectar errores, sino implementar mejoras continuas para perfeccionar su aplicación. DRaaS, una solución para tu plan de recuperación ante desastres Aunque algunas empresas continúan utilizándolos, los sistemas de recuperación ante desastres on-premise a menudo se vuelven obsoletos, ya que, si no son evaluados de manera periódica, pierden efectividad o se tornan inaplicables. Contar con una solución de Disaster Recovery as a Service (DRaaS) les permite a las organizaciones almacenar copias de seguridad de su infraestructura tecnológica y de sus datos en entornos informáticos gestionados por terceros. Es una alternativa al modelo tradicional, en la cual el proveedor aloja y replica los datos, los servidores, las aplicaciones y las configuraciones de usuario, almacenándolos y sincronizándolos en un