¿Qué es un Plan de Recuperación ante Desastres (DRP) y cómo crearlo?
Un desastre puede venir de cualquier forma y en cualquier momento. Puede parecer lo más improbable del mundo, como, por ejemplo, una inundación, pero puede suceder. O, visto de otro modo, no es imposible que pueda suceder. Al igual que puede ocurrir con una gran nevada, una tormenta o cualquier fenómeno meteorológico, o incluso un incendio.
En este artículo, vamos a explicarte qué es un Plan de Recuperación ante Desastres (DRP) y cómo crear la estrategia necesaria para recuperarnos de lo que sea que nos pueda afectar, así como las precauciones o recomendaciones a tener en cuenta para su elaboración.
- ¿Qué es un Plan de Recuperación ante Desastres (DRP)?
- ¿Por qué es importante un Plan de Recuperación ante Desastres (DRP)?
- Cómo crear un Plan de Recuperación ante Desastres (DRP)
- ¿Qué debe incluir un DRP?
- Cómo crear un Plan de Recuperación ante Desastres (DRP) con Private Cloud
- Recomendaciones para un Plan de Recuperación ante Desastres (DRP)
- Conclusiones sobre DRP
¿Qué es un Plan de Recuperación ante Desastres (DRP)?
Formalmente hablando, el DRP (Disaster Recovery Plan) es un documento creado por una empresa en el que se detallan las instrucciones a realizar cuando surja un incidente sin planificar: apagón, cortes de actividad, ataque por vulnerabilidad de seguridad, secuestros y otros siniestros.
El plan de recuperación contiene una estrategia de minimización de daños ante un desastre sobre un activo que tenga la empresa: bases de datos, servidores, etc. La idea que se persigue es la reanudación de la actividad o de la normalidad en el plazo más breve posible.
Por ello, el contenido mínimo de un plan de recuperación ante desastres debe ser:
- Clasificar e identificar amenazas, como los eventos con grandes probabilidades de causar un desastre.
- Determinar los recursos necesarios y fijar el proceso para minimizar el impacto.
- Establecer mecanismos para la reanudación de las operaciones de la forma más breve posible.
¿Por qué es importante un Plan de Recuperación ante Desastres (DRP)?
No es que seamos agoreros, pero es que un desastre puede ocurrir en cualquier momento y en cualquier lugar. Podemos repetirlo mil veces, tatuárnoslo en el antebrazo, pero la tendencia natural es la de subestimar qué tipo de fallos, errores, ataques o «eventos inesperados» pueden suceder sin previo aviso.
Podemos hablar de pequeños fallos en el hardware como errores en los discos duros (uno especialmente limitante en comparación con su naturaleza es que haya sectores dañados, sobre todo si se trata de sectores críticos). También podemos encontrar fallos de red. En el caso de las empresas pequeñas, este puede ser un fallo tan ajeno a ellas como que se haya producido una avería en su proveedor de Internet. Pero, en el fondo, afecta al negocio y debería estar contemplado como eventualidad.
A medida que crece la infraestructura de la empresa, mayores son los riesgos asociados y son más los desastres que pueden suceder. Nos podemos encontrar con la destrucción de toda la infraestructura local o la de un proveedor (o parte de ella). Puede darse un ciberataque masivo que ponga en riesgo millones de datos sensibles de decenas de empresas y que nos afecte directa o indirectamente.
Lo cierto es que a la hora de preparar la recuperación ante desastres, hay que tener en cuenta el peor escenario posible. Es decir, hay que estar preparado para poder recuperar los datos de la misma manera eficiente sin tener en cuenta el tipo de desastre que afecta a la empresa.
Como en la mayoría de los casos esos desastres no se pueden predecir, hay que hacer un ejercicio de imaginación con el objetivo de estar preparados para minimizar los daños que puede causar a la empresa y recuperar sus datos clave. En el fondo, ese es el objetivo esencial del DRP: recuperar los datos en la mayor cantidad posible, los más recientes y los más críticos e insustituibles.
Sería bueno responder a estas preguntas, que, además, nos dan las pistas clave para entender la importancia real de un DRP:
- Si ocurre algo, ¿cuánto tiempo tardaré en recuperar los datos de mi empresa? Minutos, horas, días, semanas, meses… ¿Puede que nunca? Cuanto más avanzamos a la derecha en esa lista, peor escenario tenemos.
- ¿Cómo afectará a mi negocio en el futuro? Puede que nuestro negocio admita pérdidas de datos hasta cierto punto, por ejemplo, los del último día; pero puede que perder minutos de datos sea desastroso para la compañía (imagina que trabajas con la Bolsa en productos de alto riesgo y mucha variabilidad). Es necesario pensar bien este punto para dimensionar correctamente el DRP… y nunca subestimar las consecuencias.
- ¿Cómo reanudar el funcionamiento tras la recuperación del desastre? ¿Podemos hacerlo nosotros o necesitaremos ayuda externa?
- ¿Cuánto me cuesta no tener acceso a mis datos críticos durante algún tiempo? Aquí hablamos de dinero, algo que, sin duda, nos abrirá mucho los ojos por pocos cálculos que hagamos.
Cómo crear un Plan de Recuperación ante Desastres (DRP)
Para diseñar un Plan de Recuperación ante Desastres, lo primero es establecer qué queremos proteger y en cuánto tiempo debemos estar recuperados:
- Evaluar el tiempo de indisponibilidad tolerado. Esto es muy importante, ya que es necesario calibrar cuánto tiempo podemos dejar sin servicio a nuestros clientes antes de tener pérdidas irreparables.
- Revisar el SLA para entender las consecuencias de un desastre. En el SLA se establecen las compensaciones ante la pérdida de calidad en el servicio, por lo tanto, es un elemento crucial para dimensionar el presupuesto destinado a la prevención y recuperación ante desastres.
- Establecer los tiempos de recuperación objetivo para cada parte del negocio y servicio.
¿Qué debe incluir un DRP?
Una vez con esto en mente, es hora de trabajar el documento. La realización particular depende del negocio, como ya dijimos, pero suele incluir lo siguiente:
- Inventario del hardware y software, ordenado según la importancia que tiene para el negocio.
- Los datos del proveedor o proveedores en cuanto a soporte técnico para cada pieza de hardware o aplicación software. Es crucial para ponerse en contacto rápidamente ante un problema.
- Orden de recuperación de cada sistema. Es importante dejar bien claro qué sistemas deben recuperarse en primer lugar, y qué otros pueden esperar. De esta manera, nada queda al azar. Junto a esta información debe ir una guía paso a paso con instrucciones precisas para efectuar la recuperación de cada sistema.
- Especificación de roles y responsabilidades. Para garantizar un procedimiento organizado y efectivo, es necesario designar responsables dentro y fuera de la organización —en el caso de trabajar con proveedores de servicio—. Disponer de suplentes o sustitutos para el caso de que el responsable de una tarea no esté en el momento preciso es vital.
- Plan de comunicación. Una vez ocurre el desastre, es importante saber comunicar bien a los clientes, proveedores, inversores, socios, colaboradores… lo que está sucediendo, así como poder indicar un plazo máximo de recuperación.
- Documentación adicional. Es bueno incluir toda referencia de interés para la recuperación de los sistemas.
Por último, hay que mencionar que un DRP es un documento en constante evolución. De nada sirve el esfuerzo de diseñar y crearlo para tenerlo almacenado. Es necesario que los trabajadores se familiaricen con él, que sepan bien qué papel desempeñan, hay que probarlo, revisarlo continuamente y hacer que sea fácil de actualizar o ampliar. De esta manera nos aseguraremos de que protegemos lo esencial ante cualquier desastre imprevisto, con la mayor eficiencia.
Cómo crear un Plan de Recuperación ante Desastres (DRP) con Private Cloud
Los beneficios del Cloud para nuestro plan son innegables, ya que nos aportan rentabilidad, escalabilidad y fiabilidad; por eso, la nube es una opción importante para tener en cuenta por las PYMES.
Ahora, vamos a ver cómo crear un DRP que funcione en un entorno de Cloud. Por normal general, para que sea efectivo en la nube, debe incluir estos pasos:
- Realizar una evaluación de riesgos y un análisis del impacto en la empresa.
- Elegir medidas de prevención, preparación, respuesta y recuperación.
- Probar y actualizar el plan de DRP basado en la nube.
Paso 1. Evaluación de riesgos y análisis del impacto empresarial
El primer paso en la planificación de la recuperación de desastres en entornos Cloud es evaluar la infraestructura de TI actual, así como identificar las posibles amenazas y factores de riesgo a los que la organización está más expuesta.
Una evaluación de riesgos permite descubrir las vulnerabilidades de la infraestructura de TI y a identificar qué funciones y componentes empresariales son los más críticos. Al mismo tiempo, un análisis del impacto en la empresa permite estimar cómo podría afectar al negocio una interrupción inesperada del servicio.
A partir de estas estimaciones, también podemos calcular los costes financieros y no financieros asociados a un evento de recuperación ante desastres. En particular, hablamos de parámetros como el Objetivo de Tiempo de Recuperación (RTO) y el Objetivo de Punto de Recuperación (RPO).
- El RTO es la cantidad máxima de tiempo que la infraestructura de TI puede estar caída antes de que se produzca un daño grave en el negocio.
- El RPO es la cantidad máxima de datos que pueden perderse como resultado de una interrupción del servicio.
Comprender estos conceptos nos ayuda a decidir qué datos y aplicaciones proteger, cuántos recursos invertir para alcanzar los objetivos y qué estrategias implementar en un plan basado en el Cloud.
Paso 2. Medidas de prevención, preparación, respuesta y recuperación
El siguiente paso es decidir qué medidas de prevención, preparación, respuesta y recuperación deben aplicarse en la recuperación del entorno Cloud en caso de desastre. En resumen, las medidas pueden lograr lo siguiente:
- La prevención permite reducir las posibles amenazas y eliminar las vulnerabilidades del sistema para evitar que ocurra un desastre en primer lugar.
- La preparación implica la creación del esquema de un plan de recuperación que establece qué hacer durante un evento real. Es vital documentar cada paso del proceso para asegurar que el plan se ejecuta adecuadamente durante un desastre.
- La respuesta describe qué estrategias deben ser implementadas cuando ocurre un desastre, con el fin de abordar un incidente y mitigar su impacto.
- La recuperación determina lo que se debe hacer para recuperar con éxito la infraestructura en caso de un desastre y cómo minimizar los daños.
Una vez determinado qué enfoque de recuperación de desastres se va a implementar, es necesario elegir una solución de protección de datos capaz de poner en marcha el plan y alcanzar los objetivos fijados.
Para elegir la solución que satisfaga las necesidades de la empresa y que cumpla con los requisitos de la infraestructura, hay que tener en cuenta los siguientes criterios:
- Servicios disponibles
- La capacidad del hardware
- Ancho de banda
- Seguridad de los datos
- Facilidad de uso
- Escalabilidad del servicio
- Reputación
Paso 3. Prueba y actualización del DRP basado en la nube
Después de crear y documentar el DRP, es importante hacer pruebas regularmente para ver si el plan realmente funciona. Es decir, se puede probar si los datos y aplicaciones críticas para el negocio pueden ser recuperados dentro del plazo previsto en el plan.
Hacer esto nos ayudará a identificar cualquier problema e inconsistencia en el enfoque inicial de recuperación de desastres basado en la nube. Después de realizar la prueba, podemos decidir qué es lo que le falta al DRP y cómo debe actualizarse para lograr los resultados requeridos y eliminar los problemas existentes.
Recomendaciones para un Plan de Recuperación ante Desastres (DRP)
Ahora vamos a mencionar cuáles son las mejores prácticas a tener en cuenta para la elaboración del plan.
Backup y BaaS
Empezando por las copias de seguridad, no bastan por sí solas aunque deben estar presentes en toda estrategia. La idea de éstas surge para respaldar la información de las bases de datos y de los datacenters, pero todo avanza y mejora en la tecnología.
Ahora, el backup se usa basándose en dispositivos definidos por software, es decir, se hace uso del almacenamiento de la nube. Esta tarea se automatiza y permite tener una restauración de datos en la nube de la que se puede hacer uso si hay un apagón, un ataque o cualquier otro evento que haga peligrar los datos.
Protección de datos automatizada
Ya sabéis todo el movimiento legislativo que ha habido con la protección de datos, pues aquí hablamos de una práctica automatizada en la nube para los datos. Antes, solo se pensaba que había riesgo en los datos críticos, pero ahora cualquier dato contiene un riesgo.
Una de las mejores prácticas DRP es aplicar una Secondary Data Protection para coger esos datos con el fin de usarlos en simulacros, pruebas, etc. Y es que mantener backups y réplicas ofrece la garantía de que los datos estén lejos de la empresa (situación remota).
Crear un equipo de recuperación ante desastres
¿Por qué no tener a un personal especializado en estos eventos? Las empresas que tienen mucha información confidencial o propiedad intelectual muy valiosa, deciden crear un DRC (Disaster Recovery Committee), que traducido significa Comité de Recuperación ante Desastres.
Se trata de un equipo dedicado a establecer procedimientos de recuperación y que trabaja en departamentos de finanzas, operaciones, seguridad, gestión de proveedores u otros similares. Diseñan planes, los implementan, los mejoran, actualizan y detectan los riesgos; además, supervisan cualquier desastre. Como consejo, definid bien las competencias de cada integrante para evitar crisis de liderazgo.
DRaaS
El DRaaS se trata de un servicio de Cloud Computing que usa los recursos de la nube de un proveedor (como Arsys) para respaldar los procesos críticos y evitar interrupciones ocasionadas por un desastre.
Sirve para minimizar el tiempo de recuperación, limitándose la cantidad de datos máximos que se pueden perder. Podemos decir que, ante un desastre, no veremos tiempos de espera a la hora de acceder a datos de la nube.
Conoce nuestros servicios de backup y Cloud Connect Backup, con ellos te protegerás ante todo y contra todos.
Conclusiones sobre DRP
En la actualidad, ya no basta con un backup completo de los datos para estar cubiertos ante un desastre. Tampoco basta con establecer estrategias para evitar daños físicos en las máquinas principales ante una inundación o un incendio. Hoy, es crítico mantener la confianza de los clientes en nuestro servicio, minimizar la interrupción de este y evitar la pérdida de datos, cosa que puede tener consecuencias financieras y legales graves.
Como los sistemas empresariales son cada vez más complejos, es necesario diseñar planes apropiados para ellos. Aunque el mejor plan dependerá del tipo de negocio, de los procesos y del nivel de seguridad que se necesita, en todos los casos disponer de un buen DRP será de vital importancia, ya que las implicaciones de no dar servicio durante unas horas son muy costosas y puede tener consecuencias irreversibles (como pérdida de la reputación) en cualquier negocio.
Por otro lado, no te olvides de que la implementación de un DRP también puede abarcar la protección de tu infraestructura digital. Tan sólo necesitas un hosting web confiable y seguro, además de un nombre de dominio personalizable, para mejorar la estrategia de tu página web y así garantizar la disponibilidad continua de tu marca a los usuarios.