OpiniónSeguridad

Si no tienes un plan de recuperación, prepárate para el caos

Por Enrique Domínguez Fernández, director Estratégico en InnoTec, Grupo Entelgy.

Enrique Domínguez, Entelgy
Enrique Domínguez, Entelgy

Aunque tenga un nombre inquietante, no conviene asustarse: lo mejor es, sin ninguna duda, prevenir. Si quieres respirar con tranquilidad, ostentar un plan de recuperación de desastres es básico para enfrentarse a cualquier contingencia tecnológica. Haz que tu compañía reaccione a un evento adverso con presteza y con el menor impacto posible.

Un plan de recuperación de desastres, entendido como un plan de contingencia tecnológica, es el conjunto de procesos y procedimientos que permite a la empresa recuperar los entornos tecnológicos necesarios para restablecer su operativa de negocio de acuerdo a los Tiempos de Recuperación Objetivo (RTO por sus siglas en inglés) y Puntos de Recuperación Objetivo (RPO).  Es decir, las líneas fijadas (medidas técnicas, humanas y organizativas) necesarias para garantizar la respuesta y recuperación de los sistemas de información ante cualquier incidente o interrupción de trabajo imprevista. Este plan debe desarrollarse tras el Análisis de Impacto al Negocio (económico, de imagen o reputación, de servicio…) que cualquier interrupción de un proceso puede llegar a tener en la organización (BIA).

¿Es tan importante que mi empresa cuente con uno?

La respuesta es sí. Es la única forma de lograr que la compañía reaccione a un evento adverso de acuerdo con los requisitos de negocio establecidos, en el menor tiempo posible y con el menor impacto. Si no se tiene, será casi imposible reaccionar de un modo adecuado, en un momento en el que los tiempos de recuperación son claves para evitar daños directos o indirectos.

En unos momentos de confusión, el hecho de tener este tipo de planes, habiendo previsto distintos escenarios, reduce el riesgo de cometer errores, evita la duplicación de esfuerzos y, sobre todo, permite focalizar los esfuerzos en los aspectos más importantes de la organización, tomando decisiones rápidas en función de la criticidad de los recursos afectados. Todo ello implica que dicho plan debe actualizarse y ponerse a prueba con suficiente periodicidad para asegurar su efectividad.

¿A qué desastres puede enfrentarse mi empresa?

Todas las organizaciones están sujetas continuamente a riesgos y amenazas relacionadas con su entorno, servicios, instalaciones, tecnología, personas y con su cadena de suministro. En este sentido siempre hay que evaluar dos parámetros claves: la probabilidad de que suceda una amenaza y el impacto de la misma aunque la probabilidad de ocurrencia sea baja.

En el caso de la tecnología, las amenazas pueden ser intencionadas o no. En el primero de los casos nos encontramos con intrusiones, espionaje, sabotaje (de agentes externos o incluso internos)…; mientras que en el segundo caso puede haber fallos en el funcionamiento del hardware o software, servidores o puntos de conexión… así como aquellos ligados a la pérdida del suministro eléctrico o de telecomunicaciones, incendios, inundaciones, amenazas de bomba, riesgos geológicos o derivadas del propio entorno de las instalaciones (industrias, edificios próximos, instalaciones eléctricas o de suministro…).

¿Cuánto le costaría a una empresa recuperarse de un desastre en caso de no contar con un DRP definido y desarrollado?

El mayor problema es que normalmente las empresas no conocen el impacto que puede tener un desastre hasta que lo sufren o realizan un Plan de Continuidad de Negocio. Una vez producido, dependería mucho del impacto provocado y de los activos implicados. Lo que sí podemos decir con total rotundidad es que ante un desastre (es decir de baja probabilidad, pero de muy alto impacto), si no se cuenta con un DRP, puede estar en peligro la supervivencia de la empresa.

Ante un desastre, si no se cuenta con un DRP, puede estar en peligro la supervivencia de la empresa

Elementos que deben componer un buen plan de recuperación de desastres y backup

Siguiendo las buenas prácticas y estándares aplicables como las ISO 22301 e ISO 27031, todo plan de recuperación, además de los lógicos procedimientos de recuperación, verificación y rollback de todos los sistemas necesarios, debe estar compuesto al menos por un marco de gobierno que asigne las responsabilidades y mecanismos de gobierno de la contingencia tecnológica, y debe basarse en un Análisis de Impacto al Negocio (BIA) y un Análisis de Riesgo de los procesos más críticos (AR).

Asimismo, deben establecerse planes de actualización, pruebas y formación; así como integrar los procesos de gestión de crisis de la organización. La realización de pruebas periódicas para verificar el correcto funcionamiento del plan, incluyendo la medición de los tiempos reales obtenidos en la recuperación de los sistemas, son un elemento clave para lograr así la mejora continua y actualización del DRP.

Múltiples beneficios para las empresas

El principal beneficio es el conocimiento detallado de los procesos de la compañía. Al tener que realizar los análisis mencionados, se está al corriente de todos y cada uno de los activos con los que se cuenta, así como de la documentación ligada a cada uno. De este modo, es posible descubrir todos los dispositivos, software o servicios que a veces permanecen invisibles para los responsables IT (el denominado “shadow IT” que tienen todas las organizaciones).

Asimismo, el detallar los procesos de recuperación de los sistemas hasta el nivel de detalle necesario para que pueda ser ejecutado por una persona (con base técnica) que no los conoce, reduce la dependencia de la organización de determinadas personas y se elimina el conocimiento cautivo que suele existir.

Computing 769