Conoce Atico34 - Solicita presupuesto
Ciberseguridad

Plan de recuperación ante desastres informáticos ¿Para qué sirve y cómo hacerlo?

La mayoría de las empresas están expuestas a sufrir un ataque informático o sufrir un incidente que pueda poner en riesgo la continuidad del negocio. Para minimizar el impacto de este tipo de situaciones, las empresas pueden implementar un plan de recuperación ante desastres. En este artículo explicaremos qué es y en qué consiste un plan de contingencia y recuperación de desastres informáticos y qué beneficios puede aportar a las empresas.

¿Qué es un plan de recuperación de desastres?

Un plan de recuperación de desastres (DRP) es el procedimiento que ha de seguir la empresa en el caso de que se produzca un incidente grave que afecte a su infraestructura informática. Es decir, se trata de un protocolo en el que se incluyen las acciones a seguir y los recursos necesarios para restaurar los sistemas y los datos de la empresa, para que esta pueda volver a operar con normalidad lo antes posible tras sufrir un desastre, sea este natural, a causa de un error humano o fruto de un ciberataque.

El plan de recuperación de desastres de una empresa funciona, generalmente, en una serie de fases tras la ocurrencia del desastre:

  • Identificación del desastre
  • Notificación del desastre al equipo de gestión de desastres (formado, normalmente, por personal del departamento de TI)
  • El equipo de gestión de desastres evaluará si es necesario aplicar el DRP
  • Aplicación del DRP para poner en marcha las acciones y medidas necesarias para garantizar la continuidad del negocio
  • Llevar a cabo las acciones correctivas necesarias para solucionar los problemas derivados del desastre y volver a la normalidad
  • Restauración completa de los sistemas y datos

En un escenario en el que los ciberataques se producen a diario y en el que las empresas y entidades públicas deben lidiar con la amenaza de más de 40 tipos de malware, así como el malware as a service (MaaS), que ha hecho que cualquiera con unos conocimientos mínimos pueda desencadenar un ciberataque, el plan de recuperación ante desastres es clave para asegurar que la empresa o entidad podrá seguir operando y prestando sus servicios a los usuarios y clientes, así como para minimizar pérdidas económicas y de reputación derivadas de este tipo de incidentes.

Alcance del DRP

Los planes de recuperación de desastres pueden ser más o menos exhaustivos, dependiendo en gran medida del tamaño de la infraestructura informática de la empresa, lo dependiente que sea de ella y la información que contenga y cuál de ella sea vital para su continuidad.

Por lo general, la lista de verificación de cualquier DRP debería incluir:

  • Identificación de redes y sistemas informáticos críticos (aquellos que son vitales para que la empresa pueda seguir operando).
  • Definición del RPO (objetivo del punto de recuperación, es decir, cada cuánto tiempo se realiza una copia de seguridad de los datos y sistemas críticos de la empresa) y del RTO (objetivo del tiempo de recuperación, es decir, el tiempo de inactividad permitido hasta la recuperación de la normalidad).
  • Las acciones necesarias para reiniciar, reconfigurar y recuperar sistemas, datos y redes.

El DRP debería también incluir medidas que minimicen el efecto negativo en las operaciones comerciales de la empresa mientras se recupera la normalidad, es decir, que entre las acciones que incluye el plan de recuperación ante desastres, debería haber una medida de contingencia que permita seguir operando a la empresa, como por ejemplo, contar con servicio de DRaaS, que entre sus funcionalidades incluye la replicación virtual en la nube de todo el sistema operativo clave de la empresa, permitiéndole seguir trabajando, siempre y cuando el desastre no haya provocado una pérdida de conexión a la Red.

Además, el plan de recuperación de desastres debe ser conocido por todos los empleados, para que estos sepan cómo deben actuar ante un incidente o brecha de seguridad que pueda poner en riesgo la continuidad del negocio.

Tipos de planes de recuperación ante desastres

Existen tantos planes de recuperación ante desastres como entidades que tengan uno en marcha, puesto que un DRP debe adaptarse siempre a las necesidades y características de la empresa y de su infraestructura informática, sin embargo, podemos hablar de algunos tipos de planes de recuperación de desastres de carácter general:

  • DRP en la nube; todos los activos informáticos de la empresa se almacenan en la nube como copias de seguridad, puede hacerse de manera interna, como parte de las tareas del equipo de TI, o contratar un servicio externo de BaaS (backup as a service).
  • DRP virtualizado; este tipo de plan de recuperación de desastres se basa en la puesta en marcha de un entorno virtualizado (como el que ofrece el DRaaS), de manera que máquinas, SO, software y bases de datos se replican de manera virtual y entran en funcionamiento cuando se activa el plan, lo que permite continuar con la actividad de la empresa en un corto período de tiempo.
  • DRP de la red; es un plan de recuperación de desastres centrado en recuperar el funcionamiento de la red interna de la empresa, en caso de que esta se haya visto afectada e impida el normal funcionamiento de la empresa.
  • DRP de centro de datos; este plan de recuperación de desastres se centra en las instalaciones y la infraestructura del centro de datos, es decir, en la parte física, como son el edificio, las medidas de seguridad físicas, el suministro de energía, etc., evaluando cómo las consecuencias que un desastre tendría sobre ellos y las acciones, medidas y recursos necesarios para minimizar el impacto y regresar lo antes posible a la normalidad.

¿Cómo hacer un plan de recuperación de desastres?

Para hacer un plan de recuperación de desastres es necesarios seguir estos pasos:

  • El primer paso es alinear el DRP con el plan de continuidad de negocio, de manera que ante la ocurrencia de un desastre, se priorizará la recuperación de aquellos sistemas considerados críticos para el negocio.
  • El siguiente paso será realizar un análisis y evaluación de riesgos, de manera que el DRP contemple todas las amenazas que pueden afectar a la empresa y a su continuidad, poniendo especial atención en aquellas que afecten a los sistemas críticos. Cuando hablamos de amenazas, nos referimos tanto a las cibernéticas (ciberataques, errores humanos, amenazas internas, etc.) como a las físicas (incendios, inundaciones, cortes de energía, etc.), que puedan suponer una interrupción del servicio, daño o pérdida de datos.
  • También se llevará a cabo un análisis de impacto de negocio, lo que se conoce como BIA y que sirve para identificar qué necesita la empresa para volver a la normalidad, es decir, la recuperación de los sistemas, redes y datos afectados y que son imprescindibles para su funcionamiento.
  • Los pasos anteriores nos servirán para definir las medidas para la recuperación y restauración de los sistemas críticos y prioritarios, de manera que se pongan en marcha los mecanismos necesarios para volver a la normalidad.
  • Definidas las medidas y acciones, es el momento de probar el plan, es decir, realizaremos pruebas del DRP para comprobar que esas acciones y medidas funcionarán ante un eventual desastre. Estas pruebas pueden ser tanto un repaso de la lista de verificación del DRP como un simulacro de una situación de desastre, en la que se pondrá a prueba todo el plan para comprobar su eficiencia.
  • Actualización y mejora del DRP. Tanto de las pruebas efectuadas como después de un desastre, se debe evaluar la efectividad del plan para determinar si ha funcionado adecuadamente, con un tiempo de respuesta mínimo y asegurando la continuidad del negocio o, por el contrario, ha mostrado deficiencias, de manera que pueda mejorarse. Además, las ciberamenazas evolucionan constantemente, por lo que es esencial mantener el DRP actualizado.
  • Informar y difundir el DRP entre toda la plantilla, así como designar a los encargados de llevar a cabo el plan llegado el caso (como ya dijimos, lo habitual es que sean miembros del equipo de TI).

Esta «hoja de ruta» sirve como ejemplo de un plan de recuperación de desastres informáticos que cualquier tipo de empresa o entidad pública puede seguir para elaborar su propio DRP.

Beneficios de un DRP

De la misma forma que un plan de compliance digital tiene entre sus principales ventajas evitar la comisión de infracciones o delitos derivados de los procesos de digitalización de las empresas, un plan de recuperación ante desastres también aporta los siguientes beneficios:

  • Garantizar la continuidad del negocio, puesto que la activación del DRP pone en marcha las medidas y acciones necesarias para que la empresa pueda seguir operando gracias a las copias de seguridad y la replicación virtual de sus sistemas críticos.
  • Garantizan un mejor servicio para los clientes, puesto que gracias al DRP la interrupción de los servicios de la empresa será mínima y los clientes no se verán seriamente afectados.
  • Minimiza las pérdidas de datos, económicas y de reputación derivadas de un desastre, especialmente cuando este es fruto de un ciberataque, ya que las copias de seguridad garantizarán que la pérdida de información vital sea mínima o incluso nula, pudiendo restaurar sistemas y datos de manera ágil y rápida.

Plan de recuperación de desastres y plan de continuidad de negocio ¿son lo mismo?

Un plan de recuperación ante desastres y un plan de continuidad de negocio no son lo mismo, aunque el objetivo de ambos sea el mismo, garantizar la continuidad de las operaciones comerciales y servicios de la empresa, sino que el DRP forma parte del plan de continuidad de negocio, ocupándose de la infraestructura informática de la empresa.

El plan de continuidad de negocio engloba varios planes de actuación, emergencia, financieros, comunicación y contingencias, cuyo objetivo en conjunto es mitigar el impacto ante un incidente grave o desastre. El plan de recuperación de desastres es uno de los planes de contingencia.

En definitiva, el plan de recuperación ante desastres debería formar parte del plan de continuidad de negocio de cualquier empresa, especialmente de aquellas donde la infraestructura informática tenga un gran peso, destinándole los recursos humanos y materiales necesarios para que sea realmente efectivo y, en caso de que acabe ocurriendo un desastre, la empresa pueda seguir operando mientras recupera la normalidad.