La importancia de contar con un disaster recovery plan
Hoy en día, un fallo en el sistema informático es una emergencia para cualquier empresa, principalmente como consecuencia de la digitalización de la mayoría de las actividades. Para recuperarse del fallo y volver a funcionar tan pronto como sea posible, así como para evitar la pérdida irreversible de información, toda empresa debe implementar medidas preventivas. Un plan de recuperación de desastres o DRP (por sus siglas en inglés) es una guía para situaciones críticas con soluciones y responsabilidades claramente definidas.
Procesos de gestión de emergencias
Dentro del argot técnico, los procesos de administración de emergencias hacen referencia a la gestión de la continuidad del negocio. En otras palabras, todos los procesos tienen que seguir en funcionamiento incluso en situaciones de emergencia. Los procesos se dividen principalmente en tres áreas:
- Preparación para emergencias (prevención, preparación y alerta): este proceso incluye todas las medidas preventivas encaminadas a prever situaciones de crisis. En el contexto informático puede ser, por ejemplo, conseguir un sistema informático más robusto o mejorar la redundancia de sus componentes.
- Gestión de emergencias (respuesta): el manejo de emergencias hace referencia a la capacidad y velocidad de reacción en situaciones de crisis. Esto incluye la restauración de los procesos y sistemas informáticos necesarios para el trabajo diario. Los planes de contingencia y la gestión de crisis también forman parte de este proceso.
- Pruebas y simulacros: la gestión de crisis y emergencias incluye la planificación y la realización de pruebas regulares y simulacros. El objetivo es mejorar continuamente el proceso, identificando, así, posibles vulnerabilidades.
La dependencia corporativa de su infraestructura IT
Hablar del inicio de la digitalización del mundo laboral sería impropio, pues la conversión A/D es un proceso que está en marcha desde hace ya varios años. En la economía y en la industria muchos procesos y modelos de negocio tienen lugar en Internet, desde la administración de aplicaciones (E-recruitment) hasta la gestión de un centro logístico digital (E-logistics). Como consecuencia, muchas empresas dependen de una infraestructura informática muy fiable, pues el más mínimo fallo podría paralizar completamente el negocio. En caso de problemas técnicos, lograr que un sistema informático funcione de nuevo conlleva gastos muy altos. Así, para ahorrar tiempo y dinero en situaciones de emergencia inesperadas es recomendable crear un disaster recovery plan.
Cómo se produce una emergencia informática
Un fallo parcial o completo del sistema informático de una empresa puede ser generado por diferentes factores: desde circunstancias físicas tales como un corte de energía o inundaciones, hasta influencias externas o delitos informáticos. Dentro de los escenarios más comunes en la prevención de emergencias están:
- Fallos en el suministro de energía
- Inundaciones
- Errores de hardware y software
- Error por parte de un usuario o empleado
- Ataques de hackers
La documentación informática: una base fundamental
La base para la creación de todo plan de recuperación ante desastres (DRP) es la documentación del sistema y sus recursos informáticos. Es recomendable que esta documentación sea clara y se mantenga actualizada. Los datos técnicos, las listas de usuario, las responsabilidades y los datos de contacto son elementos básicos para la gestión de un desastre. Así, la documentación necesaria para un plan de recuperación contendrá información como:
- Hardware y equipos periféricos, p. ej., impresoras
- Aplicaciones de software
- Direcciones IP
- VPN y acceso al servidor
- Datos de correo electrónico, p. ej., Exchange
Para ponerse en contacto rápidamente con la persona indicada en una situación de emergencia es necesario que el plan incluya a la vez informaciones de contacto tales como:
- Lista de usuarios
- Persona responsable de áreas / tareas individuales
- Persona responsable de servicios externos
- Información del proveedor de Internet, así como del servicio de alojamiento
El plan de recuperación ante desastres
La creación de un disaster recovery plan debe reunir los procesos generales de la empresa y debe estar estrechamente relacionado con la documentación sobre los sistemas informáticos corporativos. Básicamente, el plan de recuperación ante desastres forma parte del concepto global de seguridad y se adapta siempre a las directrices existentes. Los contenidos que forman el DRP son:
- Definición (¿Qué es una emergencia?)
- Listas de contacto del personal
- Procedimientos de alarma y canales de información
- Procesos de contingencia para la emergencia en sí
- Medidas para finalizarla, así como documentación para el momento posterior de la emergencia
- Plan de prevención de emergencias
- Planes de recuperación para todas las instalaciones
Escenarios de emergencia y planes de recuperación
Además de la documentación mencionada anteriormente, un plan de recuperación de desastres también debe incluir los planes de recuperación de los componentes individuales del sistema. Esto es, en la mayoría de casos, la labor que requiere mayor esfuerzo.
Como responsable de la seguridad informática de una empresa, se deben considerar diferentes escenarios de emergencia. Es por esto que todo plan de recuperación debe incluir soluciones adecuadas dependiendo del tipo de fallo. Un análisis detallado de los riesgos mostrará los puntos críticos e identificará aquellas áreas que puedan poner en peligro el correcto funcionamiento del sistema. Así, antes de escribir un plan de recuperación, es necesario hacer:
- Un análisis de todos los procesos y procedimientos informáticos
- Un análisis del hardware
- Pruebas de todas las aplicaciones de software
- Consultas de todos los movimientos relevantes de datos y del sistema
Finalmente, resulta de gran utilidad crear una guía paso a paso para las posibles emergencias y añadirlo al disaster recovery plan. La creación de un DRP, en particular de una guía de recuperación, es complicada y está directamente relacionada con todos los sectores de actividad de una empresa. Además, cabe recordar que no basta únicamente con su creación: el plan de recuperación de desastres debe ser actualizado constantemente y debe ir de la mano de la constante formación del personal para que puedan implementarlo en caso de ser necesario. Es por esto que toda empresa debe considerar si le resulta rentable crear e implementar un DRP por sus propios medios o si prefiere ponerlo en manos de algún experto.
La excusa perfecta para aumentar la fiabilidad informática de tu empresa
La creación de un plan de recuperación de desastres es una tarea necesaria y valiosa. Con este, toda empresa se está protegiendo de la posibilidad de perder miles de euros como consecuencia de circunstancias ajenas, como lo demuestra un estudio realizado por la Boston Computing Network. Además, un 60% de las compañías que pierden su información se ven obligadas a cerrar sus negocios seis meses después del desastre. Estos y otros daños pueden ser prevenidos con la ayuda de un análisis cuidadoso y de la implementación de pruebas y simulacros en posibles escenarios con los que identificar y corregir posibles debilidades. Con esto, una empresa no solo se está preparando para una crisis, sino que está, al mismo tiempo, aumentando la seguridad de sus sistemas. Así, la fiabilidad crece mientras la probabilidad de pérdidas en un escenario de riesgo se reduce al mínimo.