La mayoría de las empresas están expuestas a sufrir un incidente, natural o informático, accidental o premeditado, que puede poner en riesgo la continuidad del negocio. Para minimizar el impacto de este tipo de situaciones, las empresas pueden implantar un Disaster Recovery Plan o Plan de Recuperación ante Desastres (DRP). En este artículo explicaremos qué es y en qué consiste un plan de contingencia y recuperación de desastres informáticos, o de cualquier otra índole, y qué beneficios puede aportar a las empresas.
En este artículo hablamos de:
¿Qué es un Disaster Recovery Plan?
Un Disaster Recovery Plan es el procedimiento que ha de seguir la empresa en el caso de que se produzca un incidente grave que afecte a su infraestructura informática. Es decir, se trata de un protocolo en el que se incluyen las acciones a seguir y los recursos necesarios para restaurar los sistemas y los datos de la empresa, para que esta pueda volver a operar con normalidad lo antes posible tras sufrir un desastre, sea este natural, a causa de un error humano o fruto de un ciberataque.
¿Cómo funciona el Disaster Recovery Plan?
El plan de recuperación de desastres de una empresa funciona, generalmente, en una serie de fases tras la ocurrencia del desastre:
- Identificación del desastre
- Notificación del desastre al equipo de gestión de desastres (formado, normalmente, por personal del departamento de TI)
- El equipo de gestión de desastres evaluará si es necesario aplicar el DRP
- Aplicación del DRP para poner en marcha las acciones y medidas necesarias para garantizar la continuidad del negocio
- Llevar a cabo las acciones correctivas necesarias para solucionar los problemas derivados del desastre y volver a la normalidad
- Restauración completa de los sistemas y datos
Alcance del Plan de Recuperación de Desastres
Los planes de recuperación de desastres pueden ser más o menos exhaustivos, dependiendo en gran medida del tamaño de la infraestructura informática de la empresa, lo dependiente que sea de ella y la información que contenga y cuál de ella sea vital para su continuidad.
Por lo general, la lista de verificación de cualquier DRP debería incluir:
- Identificación de redes y sistemas informáticos críticos (aquellos que son vitales para que la empresa pueda seguir operando).
- Definición del RPO (objetivo del punto de recuperación, es decir, cada cuánto tiempo se realiza una copia de seguridad de los datos y sistemas críticos de la empresa) y del RTO (objetivo del tiempo de recuperación, es decir, el tiempo de inactividad permitido hasta la recuperación de la normalidad).
- Las acciones necesarias para reiniciar, reconfigurar y recuperar sistemas, datos y redes.
El DRP debería también incluir medidas que minimicen el efecto negativo en las operaciones comerciales de la empresa mientras se recupera la normalidad, es decir, que entre las acciones que incluye el plan de recuperación ante desastres, debería haber una medida de contingencia que permita seguir operando a la empresa, como por ejemplo, contar con servicio de DRaaS, que entre sus funcionalidades incluye la replicación virtual en la nube de todo el sistema operativo clave de la empresa, permitiéndole seguir trabajando, siempre y cuando el desastre no haya provocado una pérdida de conexión a la Red.
Además, el plan de recuperación de desastres debe ser conocido por todos los empleados, para que estos sepan cómo deben actuar ante un incidente o brecha de seguridad que pueda poner en riesgo la continuidad del negocio.
Tipos de planes de recuperación ante desastres
Existen tantos planes de recuperación ante desastres como entidades que tengan uno en marcha, puesto que un DRP debe adaptarse siempre a las necesidades y características de la empresa y de su infraestructura informática, sin embargo, podemos hablar de algunos tipos de planes de recuperación de desastres de carácter general:
- DRP en la nube; todos los activos informáticos de la empresa se almacenan en la nube como copias de seguridad, puede hacerse de manera interna, como parte de las tareas del equipo de TI, o contratar un servicio externo de BaaS (backup as a service).
- DRP virtualizado; este tipo de plan de recuperación de desastres se basa en la puesta en marcha de un entorno virtualizado (como el que ofrece el DRaaS), de manera que máquinas, SO, software y bases de datos se replican de manera virtual y entran en funcionamiento cuando se activa el plan, lo que permite continuar con la actividad de la empresa en un corto período de tiempo.
- DRP de la red; es un plan de recuperación de desastres centrado en recuperar el funcionamiento de la red interna de la empresa, en caso de que esta se haya visto afectada e impida el normal funcionamiento de la empresa.
- DRP de centro de datos; este plan de recuperación de desastres se centra en las instalaciones y la infraestructura del centro de datos, es decir, en la parte física, como son el edificio, las medidas de seguridad físicas, el suministro de energía, etc., evaluando cómo las consecuencias que un desastre tendría sobre ellos y las acciones, medidas y recursos necesarios para minimizar el impacto y regresar lo antes posible a la normalidad.
¿Cómo hacer un Disaster Recovery Plan?
Ahora que ya sabemos qué es un Disaster Recovery Plan, veamos cómo se hacer un DRP, siguiendo estos pasos:
- El primer paso es alinear el DRP con el plan de continuidad de negocio, de manera que ante la ocurrencia de un desastre, se priorizará la recuperación de aquellos sistemas considerados críticos para el negocio.
- El siguiente paso será realizar un análisis y evaluación de riesgos, de manera que el DRP contemple todas las amenazas que pueden afectar a la empresa y a su continuidad, poniendo especial atención en aquellas que afecten a los sistemas críticos. Cuando hablamos de amenazas, nos referimos tanto a las cibernéticas (ciberataques, errores humanos, amenazas internas, etc.) como a las físicas (incendios, inundaciones, cortes de energía, etc.), que puedan suponer una interrupción del servicio, daño o pérdida de datos.
- También se llevará a cabo un análisis de impacto de negocio, lo que se conoce como BIA y que sirve para identificar qué necesita la empresa para volver a la normalidad, es decir, la recuperación de los sistemas, redes y datos afectados y que son imprescindibles para su funcionamiento.
- Los pasos anteriores nos servirán para definir las medidas para la recuperación y restauración de los sistemas críticos y prioritarios, de manera que se pongan en marcha los mecanismos necesarios para volver a la normalidad.
- Definidas las medidas y acciones, es el momento de probar el plan, es decir, realizaremos pruebas del DRP para comprobar que esas acciones y medidas funcionarán ante un eventual desastre. Estas pruebas pueden ser tanto un repaso de la lista de verificación del DRP como un simulacro de una situación de desastre, en la que se pondrá a prueba todo el plan para comprobar su eficiencia.
- Actualización y mejora del DRP. Tanto de las pruebas efectuadas como después de un desastre, se debe evaluar la efectividad del plan para determinar si ha funcionado adecuadamente, con un tiempo de respuesta mínimo y asegurando la continuidad del negocio o, por el contrario, ha mostrado deficiencias, de manera que pueda mejorarse. Además, las ciberamenazas evolucionan constantemente, por lo que es esencial mantener el DRP actualizado.
- Informar y difundir el DRP entre toda la plantilla, así como designar a los encargados de llevar a cabo el plan llegado el caso (como ya dijimos, lo habitual es que sean miembros del equipo de TI).
Esta «hoja de ruta» sirve como ejemplo de un plan de recuperación de desastres informáticos que cualquier tipo de empresa o entidad pública puede seguir para elaborar su propio DRP. Cabe señalar que existen diferentes plantillas DRP (o disaster recovery plan template, como se las denomina en inglés) y que no hay una forma estándar para elaborarlas, ya que estos planes dependen en gran medida de las características y actividad de la empresa, su infraestructura y sus recursos.
¿Por qué tener un plan de disaster recovery en la empresa?
En un escenario en el que los ciberataques se producen a diario y en el que las empresas y entidades públicas deben lidiar con la amenaza de más de 40 tipos de malware, así como el malware as a service (MaaS), que ha hecho que cualquiera con unos conocimientos mínimos pueda desencadenar un ciberataque, un plan de disaster recovery es clave para asegurar que la empresa o entidad podrá seguir operando y prestando sus servicios a los usuarios y clientes, así como para minimizar pérdidas económicas y de reputación derivadas de este tipo de incidentes.
Pero el disaster recovery planning no solo se centra o debe centrarse en la recuperación de incidentes informáticos, puesto que abarca (o debería hacerlo) diferentes escenarios y eventos que puedan provocar la interrupción de parte de la actividad de la empresa o la paralización completa de la misma (como puede ser un incendio, por ejemplo). En ese sentido, la planificación del disaster recovery debe cubrir diferentes escenarios y recursos, para así tener una hoja de ruta a la que recurrir para saber qué medidas poner en marcha con el objetivo de volver cuanto antes a la normalidad.
Beneficios de un Plan de Recuperación de Desastres
De la misma forma que un plan de compliance digital tiene entre sus principales ventajas evitar la comisión de infracciones o delitos derivados de los procesos de digitalización de las empresas, un plan de recuperación ante desastres también aporta los siguientes beneficios:
- Garantizar la continuidad del negocio, puesto que la activación del DRP pone en marcha las medidas y acciones necesarias para que la empresa pueda seguir operando gracias a las copias de seguridad y la replicación virtual de sus sistemas críticos.
- Garantizan un mejor servicio para los clientes, puesto que gracias al DRP la interrupción de los servicios de la empresa será mínima y los clientes no se verán seriamente afectados.
- Minimiza las pérdidas de datos, económicas y de reputación derivadas de un desastre, especialmente cuando este es fruto de un ciberataque, ya que las copias de seguridad garantizarán que la pérdida de información vital sea mínima o incluso nula, pudiendo restaurar sistemas y datos de manera ágil y rápida.
Plan de recuperación de desastres y plan de continuidad de negocio ¿son lo mismo?
Un plan de recuperación ante desastres y un plan de continuidad de negocio no son lo mismo, aunque el objetivo de ambos sea el mismo, garantizar la continuidad de las operaciones comerciales y servicios de la empresa, sino que el DRP forma parte del plan de continuidad de negocio, ocupándose de la infraestructura informática de la empresa.
El plan de continuidad de negocio engloba varios planes de actuación, emergencia, financieros, comunicación y contingencias, cuyo objetivo en conjunto es mitigar el impacto ante un incidente grave o desastre. El plan de recuperación de desastres es uno de los planes de contingencia.
En definitiva, el plan de recuperación ante desastres debería formar parte del plan de continuidad de negocio de cualquier empresa, especialmente de aquellas donde la infraestructura informática tenga un gran peso, destinándole los recursos humanos y materiales necesarios para que sea realmente efectivo y, en caso de que acabe ocurriendo un desastre, la empresa pueda seguir operando mientras recupera la normalidad.