En términos de tecnología de la información, una catástrofe es cualquier tipo de evento que interrumpe la red, pone en riesgo los datos o hace que las operaciones normales se ralenticen o se detengan. Un plan de recuperación de desastres (DRP) se crea para hacer frente a los riesgos y posibilidades de este tipo de eventos y minimizar los daños que causan.
Las catástrofes más comunes que se incluyen en un DRP son:
Actividad maliciosa/ciberataques
Los agentes maliciosos, el malware, los virus y las amenazas internas pueden causar fácilmente costosos tiempos de inactividad y pérdidas de datos. Dado que los ciberataques son cada vez más frecuentes mes a mes, los DRP suelen prestar mucha atención a este ámbito de riesgo.
Cortes de energía
Las operaciones deben poder seguir adelante ante los cortes de suministro, especialmente si son prolongados y caóticos, como ocurre tras muchas catástrofes naturales.
Fallos en los equipos
Aunque el equipo de TI se esfuerza por mantener todo en funcionamiento, es importante contar con planes de recuperación en caso de que algo vaya mal.
Estados de emergencia
Antes de 2021, muchas organizaciones no contaban con disposiciones para algo como una pandemia mundial en su planificación de catástrofes, lo que ilustra por qué es prudente planificar para escenarios periféricos, no sólo los más obvios.
De hecho, su plan de recuperación de desastres debe ser bastante completo y no debe incluir sólo los escenarios que usted cree que son muy probables
En este artículo, vamos a examinar este y otros datos importantes sobre la planificación de la recuperación de desastres.
De qué va a tratar este artículo:
- ¿Qué es un plan de recuperación ante desastres?
- Cuatro tipos de recuperación de desastres informáticos
- Elementos clave de un DRP
- Pasos para crear un plan de recuperación de desastres
¿Qué es un plan de recuperación ante desastres?
Un plan de recuperación de desastres informáticos (DRP) es un documento formalizado que una organización crea para codificar las políticas y procedimientos en respuesta a un desastre. Se centra en sectores relevantes para las TI, como el mantenimiento de la red y los sistemas telefónicos VoIP en línea o la protección de datos sensibles mediante políticas de copia de seguridad. El DRP es un componente del Plan de Continuidad de Negocio (BCP) de la organización, y del mismo modo debe ser probado y actualizado regularmente para asegurar que el equipo de TI pueda tener éxito en los esfuerzos de recuperación independientemente del tipo de desastre.
Los PRD se consideran esenciales, ya que minimizan la exposición al riesgo, reducen las perturbaciones y garantizan la estabilidad económica. Un plan bien elaborado y sólido también puede reducir las primas de los seguros y la posible responsabilidad civil, así como garantizar que su organización cumpla los requisitos normativos. El ahorro potencial puede ser impactante una vez que se determina el riesgo financiero al que se enfrenta realmente sin un plan de recuperación de desastres.
Para determinar cuánto puede costar una catástrofe a su organización, basta con considerar el coste del tiempo de inactividad del sistema y la pérdida de datos. ¿Cuántas ventas se perderían si el sitio web o el sistema telefónico estuvieran fuera de servicio durante varios días? ¿Cuántas horas facturables se perderían si se borraran accidentalmente los documentos de una semana? Para cualquier negocio de más de unas pocas personas, estas cifras pueden crecer exponencialmente muy rápido.
Cuatro tipos de recuperación de desastres
El intercambio de archivos es una gran herramienta de productividad, pero lo que realmente nos interesa es la seguridad. Ese es el ámbito de la copia de seguridad de datos y la recuperación de archivos.
1) Recuperación ante desastres en el Data Center
Este tipo de recuperación de desastres tiene en cuenta todo el edificio en el que se aloja el sistema informático: el data center. Incluye todos los elementos y herramientas del edificio, como la seguridad física, el personal de apoyo, la energía de reserva, la calefacción, la ventilación y la extinción de incendios, que deben ser fiables y estar en funcionamiento. También puede incluir redundancias que mantengan estos sistemas en funcionamiento en caso de cortes aislados. La planificación de este tipo de RD puede ser muy costosa, ya que incluye muchos gastos físicos y de mantenimiento.
2) Recuperación de desastres en la nube
Esto traslada toda la carga de la configuración y el mantenimiento del sitio al proveedor de la nube, utilizando su data center mediante un acuerdo o contrato de licencia. Aunque esto reduce significativamente la complejidad y los costes para el usuario final, es más limitado que la propiedad completa de un centro de datos. En la mayoría de los casos, el ahorro de costes de copia de seguridad y recuperación en la nube superan con creces las libertades sacrificadas por no tener un centro de datos propio.
3) Recuperación de desastres por virtualización
La virtualización es muy popular, especialmente en una época en la que las máquinas virtuales son más comunes debido a los cambios en la mano de obra. Este enfoque evita la necesidad de reconstruir un servidor físico en caso de desastre, lo que hace mucho más fácil alcanzar sus objetivos de tiempo de recuperación (RTO) colocando un servidor virtual en la capacidad de reserva o en la nube.
4) Recuperación de desastres como servicio
La recuperación de desastres como servicio (DRaaS) es un medio subcontratado para asegurar la recuperación de desastres de TI utilizando una variedad de enfoques diferentes. El DRaaS puede proporcionarse a través de la nube o como un servicio de sitio a sitio. Los proveedores pueden reconstruir y enviar los servidores a la ubicación de un cliente como parte de un servicio de sustitución de servidores o pueden utilizar la nube para conmutar por error las aplicaciones, orquestar el retorno a los servidores reconstruidos y volver a conectar a los usuarios a través de una VPN o un protocolo de escritorio remoto.
Puntos clave de un plan de recuperación de desastres
A continuación se indican algunos elementos importantes que deben incluirse en la planificación de la recuperación de desastres.
-
Evaluación del impacto empresarial
Antes de crear el PRD debe realizarse una evaluación del impacto en la empresa (BIA). Esta exhaustiva evaluación analiza los sistemas críticos de una empresa y cómo priorizar la recuperación de dichos sistemas.
-
Objetivo de punto de recuperación (RPO) y objetivo de tiempo de recuperación (RTO)
Un RPO determina la cantidad aceptable de datos que una empresa puede arriesgarse a perder y se utiliza para definir las frecuencias de las copias de seguridad. El RTO implica el cálculo y la fijación de objetivos en torno al tiempo que se tardará en restaurar un sistema tras una catástrofe. Conoce más sobre la diferencia entre RPO y RTO.
-
Lugar de almacenamiento externo
Los servidores de copia de seguridad, el hardware y otros materiales necesarios para el proceso de recuperación de desastres deben almacenarse en un lugar alejado de la oficina principal. La distancia o el número de lugares diferentes dependerán de los escenarios de catástrofe para los que se esté planificando. Por ejemplo, si el emplazamiento principal se encuentra en una zona propensa a las inundaciones, el emplazamiento externo puede tener que estar a cientos de kilómetros.
Lea nuestra guía de soluciones de copia de seguridad para obtener más información sobre el uso de soluciones de copia de seguridad y recuperación de datos basadas en la nube para satisfacer esta necesidad.
-
Plan de comunicación
Un DRP debe facilitar una comunicación rápida y sencilla entre todos los empleados y proveedores de servicios necesarios para el proceso de recuperación. También debe establecer y definir las funciones y responsabilidades de todos durante una catástrofe.
-
Instrucción clara y directa
Los mejores planes de gestión de riesgos se dividen en listas de comprobación para que los usuarios no tengan que leer cientos de páginas cuando tengan que responder a un peligro inmediato.
Nueve pasos para crear un plan de recuperación de desastres
Cada empresa necesita un plan de recuperación de desastres que sea tan único como sus necesidades de datos. Para definir el mejor enfoque para su empresa, debe sopesar el valor de sus datos, sistemas y aplicaciones frente al riesgo que su organización puede asumir. Cuando cree un plan de recuperación de desastres, asegúrese de incluir los siguientes pasos:
1) Obtener el compromiso de toda la organización
Todos los miembros de la organización deben conocer y ser capaces de apoyar y ejecutar el plan de recuperación. La planificación adecuada comenzará en la cúspide, ya que la propia dirección/dirección debe apoyar y participar en el desarrollo del proceso de planificación de la recuperación en caso de catástrofe, garantizando que se destinen los recursos adecuados a la tarea.
2) Establecer un comité de planificación
Debe organizarse un grupo de partes interesadas para supervisar el desarrollo y la aplicación del plan de recuperación de desastres. El comité de planificación debe incluir representantes de todas las áreas funcionales de la organización, así como miembros clave de sectores relevantes como la informática y la gestión de operaciones.
3) Realizar un análisis de riesgos y un análisis de impacto empresarial
El comité de DRP debe preparar tanto un análisis de riesgos como un análisis de impacto en el negocio para establecer las bases de su planificación. Estas evaluaciones deben incluir una serie de catástrofes, incluidas las amenazas naturales, técnicas y humanas. Cada sector de la organización debe ser analizado para determinar la amenaza potencial y el impacto de los probables escenarios de desastre.
El problema que surge de esta característica es que los ataques comunes de ransomware y cifrado suelen cambiar el nombre y cifrar los archivos de las unidades de la víctima. Esto se hace intencionadamente para eludir el historial de versiones y la papelera de reciclaje, de modo que no sea fácil recuperar los archivos.
4) Priorizar las operaciones
Las necesidades críticas de cada departamento deben ser evaluadas en áreas como el personal, los datos/documentación, las políticas, el servicio y los sistemas de procesamiento.
Es importante determinar el tiempo máximo que cualquier departamento puede funcionar sin cada sistema crítico. El comité de planificación también debe determinar las necesidades críticas de cada departamento para priorizar mejor la recuperación y la asignación de recursos de emergencia. Todas las operaciones deben clasificarse como esenciales, importantes o no esenciales en función de su prioridad.
5) Codificar las estrategias de recuperación
Deben investigarse y evaluarse alternativas prácticas para los recursos informáticos perdidos o inactivos en caso de catástrofe. Es importante tener en cuenta todos los aspectos normales de la operación a la hora de elegir estos fallos o redundancias.
Esta parte del plan suele incluir información detallada sobre la compra y el mantenimiento de herramientas y recursos de emergencia -por ejemplo, soluciones de copia de seguridad y recuperación de datos-, así como la mano de obra y otras consideraciones necesarias para mantenerlos en estado de alerta.
6) Realizar la recogida de datos
Los datos importantes deben ser recogidos y almacenados. La recopilación de datos recomendada puede incluir:
Documentación sobre copias de seguridad y recuperación
- Números de teléfono críticos
- Inventario de hardware de comunicaciones
- Documentación interna
- Registros de gestión de activos
- Pólizas de seguro
- Inventario de hardware de red
- Lista maestra de contactos de proveedores
- Lista de verificación de la notificación
- Inventario del almacén externo
7) Organizar y documentar un plan escrito
El plan debe incluir todos los procedimientos detallados que se utilizarán antes, durante y después de una catástrofe. Esto incluye una política de mantenimiento y actualización del plan para reflejar cualquier cambio significativo en la organización, así como un proceso de revisión periódica.
Para facilitar el despliegue, los DRP suelen estar estructurados en equipos y con responsabilidades delegadas. El equipo de gestión es especialmente importante porque coordina el proceso de recuperación.
Debe haber equipos responsables de las principales funciones, entre ellas
- Funciones administrativas
- Instalaciones y operaciones
- Cadena de suministro y logística
- Asistencia al usuario/servicio de atención al cliente
- Copia de seguridad informática y TI
- Restablecimiento de los servicios
8) Probar el plan
Todos los planes de emergencia deben probarse y evaluarse a fondo de forma periódica. Los procedimientos para superar estas pruebas deben estar rígidamente documentados. Sin las pruebas, es imposible saber si todas las facetas de un escenario de emergencia han sido abordadas por el DRP hasta que sea demasiado tarde.
Una prueba inicial proporcionará información sobre los pasos adicionales que deban incluirse, los cambios en los procedimientos que no sean eficaces y otros ajustes para mejorar la eficacia. Estas pruebas pueden adoptar la forma de listas de comprobación, simulaciones o apagones forzados reales. Por supuesto, lo mejor es hacer estas pruebas en horas no laborables para minimizar las interrupciones en la organización.
9) Aprobación y aplicación
Una vez redactado el plan de recuperación de desastres y probado a fondo, el plan debe ser aprobado por la dirección de la organización.
La dirección es responsable de:
- Establecer las políticas, los procedimientos y las responsabilidades para la planificación de catástrofes, así como la formación inicial del comité
- Revisar y aprobar el plan de contingencia anualmente, así como conservar la documentación de las revisiones y pruebas por razones de responsabilidad y cumplimiento
- Garantizar que el PRD es compatible con cualquier vendedor o proveedor de servicios
Conclusión
Crear un plan de recuperación de desastres es esencial para garantizar la supervivencia de cualquier organización que dependa de la tecnología. El éxito de la planificación implica encontrar soluciones de recuperación de desastres que se ajusten a sus necesidades informáticas únicas y que sean prácticas de gestionar y probar.
Muchas pymes optan por trabajar con proveedores de servicios gestionados (MSP) para compensar la carga de conocimientos específicos, mientras que otras recurren directamente a herramientas como NinjaOne, que les permiten aprovechar la tecnología creada específicamente para simplificar la recuperación de desastres de TI. Estas herramientas facilitan enormemente pasos como la configuración de las copias de seguridad, la comprobación de los fallos y la puesta en marcha de nuevos sistemas tras un desastre.
Ya sea que tu organización desee mantener la administración de TI interna o subcontratarla, NinjaOne te da el poder de garantizar la continuidad del negocio con una rápida conmutación por error de las cargas de trabajo críticas a nuestros centros de datos remotos y seguros. En caso de desastre, puedes confiar en la disponibilidad instantánea de los datos y los sistemas funcionales gracias a una infraestructura basada en la nube lo suficientemente resistente como para que miles de usuarios y proveedores de TI de NinjaOne confíen en ella.
Independientemente de cualquier incertidumbre que pueda encontrar, NinjaOne será una parte valiosa de tu planificación ante desastres. Si estás listo para descrubrir nuestras ventajas, te invitamos a solicitar tu prueba gratuita hoy mismo.