Un plan de recuperación ante desastres es un proceso documentado para recuperar y proteger una infraestructura de TI empresarial en caso de un desastre. Básicamente, proporciona una idea clara sobre las diversas acciones que se deben tomar antes, durante y después de un desastre.
Los desastres son naturales o provocados por el hombre. Los ejemplos incluyen accidentes industriales, derrames de petróleo, estampidas, incendios, explosiones nucleares/radiación nuclear y actos de guerra, etc. Otros tipos de desastres provocados por el hombre incluyen escenarios más cósmicos de calentamiento global catastrófico, guerra nuclear y bioterrorismo, mientras que los desastres naturales son terremotos. , inundaciones, olas de calor, huracanes/ciclones, erupciones volcánicas, tsunamis, tornados y deslizamientos de tierra, amenazas cósmicas y de asteroides.
El desastre no se puede eliminar, pero la preparación proactiva puede mitigar la pérdida de datos y la interrupción de las operaciones. Las organizaciones requieren un plan de recuperación ante desastres que incluya un Plan formal para considerar los impactos de las interrupciones en todos los procesos comerciales esenciales y sus dependencias. El plan por fases consiste en las precauciones para minimizar los efectos de un desastre para que la organización pueda continuar operando o reanudar rápidamente las funciones de misión crítica.
El Plan de Recuperación de Desastres debe ser preparado por el Comité de Recuperación de Desastres, que incluye representantes de todos los departamentos o áreas críticas de las funciones del departamento. El comité debe tener al menos un representante de administración, computación, administración de riesgos, administración de registros, seguridad y mantenimiento de edificios. La responsabilidad del comité es preparar un cronograma para establecer un plazo razonable para completar el plan escrito. El también responsable de identificar los departamentos críticos y no críticos. Un procedimiento utilizado para determinar las necesidades críticas de un departamento es documentar todas las funciones realizadas por cada departamento. Una vez que se han reconocido las funciones primarias, las operaciones y procesos se clasifican en orden de prioridad: esenciales, importantes y no esenciales.
Por lo general, la planificación de la recuperación ante desastres implica un análisis de los procesos comerciales y las necesidades de continuidad. Antes de generar un plan detallado, una organización suele realizar un análisis de impacto comercial (BIA) y un análisis de riesgo (RA), y establece el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO). El RTO describe la cantidad de tiempo objetivo que una aplicación comercial puede estar inactiva, generalmente medida en horas, minutos o segundos. El RPO describe el momento anterior en el que se debe recuperar una aplicación.
El plan debe definir las funciones y responsabilidades de los miembros del equipo de recuperación ante desastres y esbozar los criterios para poner en marcha el plan; sin embargo, no existe un tipo correcto de plan de recuperación ante desastres, ni existe una recuperación ante desastres única para todos. plan. Básicamente, hay tres estrategias básicas que se presentan en todos los planes de recuperación ante desastres: (a) medidas preventivas, (b) medidas de detección y (c) medidas correctivas.
(a) Medidas preventivas: tratará de evitar que ocurra un desastre. Estas medidas buscan identificar y reducir los riesgos. Están diseñados para mitigar o evitar que suceda un evento. Estas medidas pueden incluir el mantenimiento de copias de seguridad de los datos fuera del sitio, el uso de protectores contra sobretensiones, la instalación de generadores y la realización de inspecciones de rutina.
(b) Medidas de detección: estas medidas incluyen la instalación de alarmas contra incendios, el uso de software antivirus actualizado, la realización de sesiones de capacitación para los empleados y la instalación de software de monitoreo de servidores y redes.
(c) Medidas correctivas: Estas medidas se enfocan en arreglar o restaurar los sistemas después de un desastre. Las medidas correctivas pueden consistir en mantener documentos críticos en el Plan de Recuperación de Desastres.
El Plan debe incluir una lista de contactos de primer nivel y personas/departamentos dentro de la empresa, que pueden declarar un desastre y activar las operaciones de DR. También debe incluir un esquema y contenido que establezca los procedimientos exactos que se seguirán en caso de un desastre. Deben estar disponibles al menos 2-4 sitios DR potenciales con hardware/software que cumpla o supere el entorno de producción actual. Las mejores prácticas de DR indican que los sitios de DR deben estar al menos a 50 millas del sitio de producción existente para que se cumplan los requisitos del objetivo de punto de recuperación (RPO)/objetivo de tiempo de restauración (RTO).
El plan de recuperación debe prever la formación inicial y continua de los empleados. Se necesitan habilidades en las fases de reconstrucción y salvamento del proceso de recuperación. Su capacitación inicial se puede lograr a través de seminarios profesionales, programas educativos internos especiales, el uso inteligente de consultores y proveedores, y estudios individuales adaptados a las necesidades de su departamento. Se necesita una cantidad mínima de capacitación para ayudar a los restauradores profesionales/contratistas de recuperación y otras personas que tienen poco conocimiento de su información, nivel de importancia u operaciones generales.
Todo un plan documentado debe probarse por completo y todos los informes de prueba deben registrarse para futuras perspectivas. Esta prueba debe tratarse como una ejecución en vivo y con suficiente tiempo. Una vez que se han completado los procedimientos de prueba, se realiza una «ejecución en seco» inicial del plan mediante la realización de una prueba de recorrido estructurada. La prueba proporcionará información adicional sobre cualquier paso adicional que sea necesario incluir, cambios en los procedimientos que no son efectivos y otros ajustes apropiados. Estos pueden no ser evidentes a menos que se realice una prueba de funcionamiento en seco real. El plan se actualiza posteriormente para corregir cualquier problema identificado durante la prueba. Inicialmente, la prueba del plan se realiza en secciones y después del horario comercial normal para minimizar las interrupciones en las operaciones generales de la organización. A medida que se perfecciona el plan, las pruebas futuras se realizan durante el horario comercial normal.
Una vez que se ha escrito y probado el plan de recuperación ante desastres, el plan se envía a la gerencia para su aprobación. Es responsabilidad última de la alta dirección que la organización tenga un plan documentado y probado. La gerencia es responsable de establecer las políticas, los procedimientos y las responsabilidades para la planificación integral de contingencias, y de revisar y aprobar el plan de contingencias anualmente, documentando dichas revisiones por escrito.
Otro aspecto importante que a menudo se pasa por alto tiene que ver con la frecuencia con la que se actualizan los Planes DR. Se recomiendan actualizaciones anuales, pero algunas industrias u organizaciones requieren actualizaciones más frecuentes porque los procesos comerciales evolucionan o porque los datos crecen más rápido. Para seguir siendo relevantes, los planes de recuperación ante desastres deben ser una parte integral de todos los procesos de análisis comercial y deben revisarse en cada adquisición corporativa importante, en cada lanzamiento de un nuevo producto y en cada hito del desarrollo de un nuevo sistema.
Su negocio no sigue siendo el mismo; las empresas crecen, cambian y se realinean. Un plan eficaz de recuperación ante desastres debe revisarse y actualizarse periódicamente para garantizar que refleje el estado actual del negocio y cumpla con los objetivos de la empresa. No solo debe revisarse, sino que debe probarse para garantizar que sea un éxito si se implementa.
Cuando las cosas salen mal, es importante contar con un plan de recuperación ante desastres sólido, específico y bien probado. Sin un plan de recuperación ante desastres (DR), su organización corre un riesgo excepcional de pérdida de negocio, piratería informática, ataques cibernéticos, pérdida de datos confidenciales y más.
Relacionado:
¿Pequeña empresa sin plan de preparación para emergencias? Te diriges al desastre
Pequeña empresa afectada por un desastre: ¿es responsable el propietario?
Cómo mantenerse positivo cuando ocurre un desastre
7 formas de preparar su centro de datos para un desastre natural
Beneficios de la recuperación ante desastres como servicio
