Las bases del Disaster Recovery Planning

Descargar el artículo

The good weather umbrella

La formulación de una estrategia detallada para lograr el menor tiempo de pérdida operativa tras una falla o un ciberataque —capaz de dañar económicamente a la compañía—, es el principal objetivo de todo proyecto de Disaster Recovery Planning en TI.

Para entrar en detalles: el Departamento de Trabajo de Estados Unidos asegura que 50% de las empresas que pierden su información a causa de desastres, desaparece inmediatamente, mientras que 93% lo hace en un año, de ahí la importancia de tener detallada un buena propuesta.

Sin embargo, es importante señalar que antes de poder generar ese plan de recuperación detallada, se necesita llevar a cabo una evaluación del riesgo (AR) y/o análisis de impacto del negocio (BIA) para identificar los servicios de TI que apoyan las actividades críticas de la organización.

EL CANON DEL DISASTER RECOVERY PLANNING

En cuanto a las estrategias de recuperación de desastres, que pueden consultarse en la norma ISO/IEC 27031, el estándar global de TI en Disaster Recovery Planning establece que los trabajos deben definir los métodos de aplicación de resistencia requerida para que los principios de prevención de incidentes, detección, respuesta, recuperación y restauración se pongan eficientemente en marcha lo más rápido posible.

Normalmente se querrá tener en cuenta cuestiones tales como los presupuestos, la posición de dirección en cuanto a los riesgos, la disponibilidad de recursos, costos frente a los beneficios, las limitaciones humanas, las limitaciones tecnológicas y las obligaciones reglamentarias.

Piense primero en la gente. Esto implica la disponibilidad de personal/contratistas, las necesidades de capacitación de empleados/proveedores, la duplicación de la capacidad crítica para que pueda haber ante un trabajador nuevo y al menos una copia de la estrategia de seguridad, disponible para ser utilizado por el personal.

Facilidades físicas. Aquí hay que elegir áreas que estén disponibles para realizar el trabajo alterno dentro del mismo sitio, en un lugar diferente, en un lugar de terceros proporcionados, en hogares de los empleados o en un centro de trabajo transportable. Luego hay que considerar la seguridad del sitio, procedimientos de acceso del personal, tarjetas de identificación y la ubicación del espacio alterno en relación con el sitio primario.

La tecnología. Tendrá que considerar el acceso al equipo que está configurado correctamente para sistemas de TI, con suelos elevados, por ejemplo, así como de calentamiento adecuado, ventilación y aire acondicionado. Deben tener suficiente energía eléctrica primaria; una adecuada infraestructura de datos de voz, y provisión para la dotación de personal en un sitio alternativo.

Resguardo de datos. Áreas y tecnología segura que almacenen copias de los datos críticos, conectividad y ancho de banda necesario para asegurar que toda la información sensible puede ser duplicada y usada, así como la disponibilidad de apoyo técnico de los proveedores de servicios cualificados.

Proveedores. Las empresas tienen que identificar y contratar proveedores para todos los sistemas y procesos críticos, e incluso el abastecimiento de las personas. Las principales áreas donde son importantes incluyen el hardware (tales como servidores, bastidores, etc.), la energía (tales como baterías, fuentes de alimentación universales, protección de energía, etc.), redes (voz y servicios de redes de datos), la reparación y sustitución de componentes y varias empresas de mensajería (FedEx, UPS, etc).

Las políticas para la recuperación de desastres de TI deben ser aprobados por la alta dirección.

En paralelo a la creación del plan, siempre es importante sensibilizar a los empleados sobre la seguridad, la capacitación ante riesgos y la gestión de registros ante un incidente. Estos son esenciales para asegurar que los trabajadores son plenamente conscientes de su labor y sus responsabilidades en un desastre.

Puesto que la planificación de un Disaster Recovery Planning genera una importante cantidad de documentación, también se deben iniciar las actividades de gestión de información. Si la organización ya cuenta con la gestión de documentos y programas de administración del cambio, siempre hay que utilizarlos en el trabajo de elaboración de este proyecto. Está en sus manos o en la de su proveedor evitar una pérdida innecesaria de datos, recursos o prestigio.