ISO 9000 | Beneficios de implementar un DRP

 disaster-recovery-plan-importance

  • ¿Cuáles son las estrategias de comunicación que se tienen para notificar a los colaboradores y clientes cuando se ha declarado un desastre en la organización?
  • ¿Dónde pueden trabajar nuestros colaboradores en caso de que no tengan acceso a la información de la organización?
  • ¿Existe un análisis de impacto que determine cuáles son los servicios críticos de la organización?
  • ¿Cómo se protege y recupera la información importante y crítica de la organización?
  • ¿Están documentados los pasos a seguir en caso de presentarse algunos escenarios donde haya pérdida al acceso de la información o de ésta?
  • ¿Hay pruebas o simulacros de recuperación y/o restauración de datos?

Las anteriores preguntas hace necesario el desarrollar estrategias para proteger nuestra información y servicios mediante un «DRP».

Qué es un “DRP» (Disaster Recovery Plan – Plan de Recuperación ante Desastres)

Es un plan que indica las acciones que se deben realizar en un período de tiempo especificado en los casos de que alguna contingencia (siniestro, desastre) imposibilite el funcionamiento de los recursos informáticos en forma parcial o total de una organización.El DRP permite recuperar los servicios críticos de la organización. Por tanto, es obligación de la misma el controlar los efectos que pudieran producir los desastres, es decir, cada uno del personal debe comprometerse a minimizar y administrar los riesgos que pudieran generar los desastres informáticos.

El DRP se debe aplicar:

  • Antes de que ocurra una contingencia.
  • Durante la ocurrencia de la contingencia.
  • Después de que ocurra la contingencia.

Año-2000-desastre

Por ejemplo, cuando se acercaba el año 2000, los sistemas operativos no estaban preparados para afrontar el cambio de fecha a cuatro dígitos, por lo que se calificaba como «Año 2000: Apocalipsis cibernético mundial». Gracias a los planes ante el desastre venidero, se evito que ocurriera. Así debe de funcionar el DRP que se desarrolle para nuestra organización.

 

Cómo hacer un «DRP»

A fin de diseñar el DRP, es necesario definir algunos conceptos que se utilizan en la elaboración del mismo:

Determinar el tiempo para la pérdida aceptable de datos o acceso a éstos (RPO, Recovery Point Objectives).

Ejemplo: La organización está dispuesta a perder doce horas de datos.

Determinar el tiempo disponible para la ejecución de restauración de los servicios del negocio una vez que se ha declarado un desastre (RTO, Recovery Time Objectives).

Ejemplo: Restablecer sistema financiero en cuatro horas.

Determinar el tiempo para la puesta a punto de los elementos de la red a restablecer junto con sus usuarios (NRO, Network Recovery Objectives).

Ejemplo: Acceso al CRM en la nube en 30 minutos.

Analizar el impacto de los servicios y aplicaciones de la organización (BIA, Business Impact Analysis).

Ejemplo: Actualmente emitimos una factura cada hora, tenemos solicitud de descarga de estados de cuenta cada dos horas, utilizamos un ERP para controlar movimientos en almacén diariamente; en caso de alguna contingencia que imposibilite el acceso a estos servicios, tendremos pérdidas estimadas en…

Como se muestra en la siguiente figura, en ocasiones tenemos un respaldo de los datos, que nos pudiera servir para recuperar la información una vez que se declare un desastre. ¿Qué pasaría si no hubiese un respaldo actualizado?
Conceptos-DRP

En la actualidad existen varias estrategias para controlar la pérdida y recuperación de datos, tales como:

  • Establecer el destino de los datos:
    • En sitio (On premise)
    • En la nube (Cloud)
    • Híbrido (Hybrid)
  • Mantener la continuidad del negocio usando los servicios y almacenaje en la nube.
  • Respaldo y restauración.
  • Reducción de datos.
  • Protección de datos mediante la descentralización de oficinas.

Metodología de GRUPO ALBE para Implementar un DRP

Metodologia-DRP

Etapa 1. Análisis.

  • Realizar un análisis de impacto de toda la organización para determinar los servicios y datos críticos a fin de establecer los RTO/RPO/NRO.

Etapa 2. Diseño de la solución.

  • Diseñar una solución en base a los requerimientos establecidos por la organización de acuerdo a la información obtenida de la etapa 1.
  • Documentar los pasos de recuperación de cada servicio crítico con sus sistemas relacionados.
  • Asignar responsables de la ejecución de cada procedimiento.

Etapa 3. Capacitación.

  • Capacitar al personal encargado de restablecer los servicios para cuando se presente y termine un desastre.
  • Desarrollar estrategias de comunicación a todo el personal de la organización para prevenir desastres.
  • Fomentar cultura de seguridad y manejo de la información.

Etapa 4. Pruebas y simulacros.

  • Probar la viabilidad de las estrategias desarrolladas para asegurar la continuidad de los servicios críticos de la organización.
  • Realizar las modificaciones requeridas en las estrategias desarrolladas, recursos requeridos, personal, etc.

Etapa 5. Recuperación.

  • Corregir los datos afectados por el desastre (datos desactualizados, corruptos) aplicando las estrategias desarrolladas.
  • Realizar informe con los resultados de la ejecución del Plan de Recuperación de Desastre.

Beneficios de diseñar e implementar el «DRP»

Algunos de los beneficios que podrá gozar tu organización al hacer un «DRP», a parte de los ahorros del esfuerzo, tiempo y dinero:

  • Mantener la continuidad de los servicios relacionados con la TIC del negocio:
  • Proteger al negocio de fallas generales en los servicios informáticos.
  • Minimizar los riesgos generados por la falta de servicios.
  • Garantizar el acceso de la información empresarial.
  • Mantener la disponibilidad de los recursos informáticos.
  • Minimizar la toma de decisiones erróneas al presentarse algún desastre.
  • Dar atención continua a los clientes, proveedores, accionistas, colaboradores.
  • Tener capacidad de recuperación exitosa.

Conclusión

Cuando una organización va creciendo con el apoyo de la tecnología y va tomando las medidas necesarias para proteger su información (su bien más importante) y establece las estrategias pertinentes (mediante un DRP) para recuperarla en caso de alguna contingencia (desastre, siniestro), podrá asegurar la continuidad de sus servicios y asegurar la atención de sus clientes, manteniéndose al día con la exigencia de su mercado.

Solme Omar Bustos Rodríguez

Firma Bloog