Plan de recuperacion de desastres en la empresa
Concepto
Un plan de recuperación ante desastres (del inglés Disaster Recovery Plan) es un proceso de recuperación de datos, para que un negocio pueda comenzar de nuevo sus operaciones en caso de un desastre natural o causado por humanos. Esto también debería incluir proyectos para enfrentarse a la pérdida inesperada o repentina de personal clave, el propósito es la protección de datos.
Metodología para el diseño de un plan de recuperación ante desastres o DRP
Se recomiendan las siguientes 6 fases para la elaboración de dicho plan:
1. Inicio del proyecto plan de recuperación ante desastres Se debe tener en cuenta:
Revisión de los procesos críticos a considerar en el DRP.
Entendimiento de TI
Valoración de los riesgos
Evaluación del nivel en el que se encuentra la organización.
Las actividades que se deben llevar a cabo en esta fase son las siguientes:
• Validar el objetivo de continuidad del proyecto: se establece el objetivo de continuidad que tendrá el proyecto DRP y los conceptos que serán utilizados para el mismo.
• Acordar el compromiso con las directivas: se confirma la aprobación de las Directivas de la empresa para la realización del proyecto y la existencia de los recursos financieros, humanos y logísticos requeridos.
• Conformar el equipo del DRP: se asignan responsables para la ejecución del proyecto, identificando al gerente y a las personas que desarrollarán las diferentes actividades.
• Refinar el alcance del proyecto: se revisa y aprueba el alcance del proyecto, para lo cual se considera el objetivo de continuidad establecido, los procesos del servicio que deben incluirse y las dependencias interesadas en el Plan de recuperación ante desastres.
2. Impacto sobre el negocio
Es uno de los aspectos más importantes a considerar, consiste en la identificación de diversos eventos que pudieran afectar a la continuidad de la empresa. Se basa en las siguientes actividades:
• Identificar sitios físicos: se valida la lista de instalaciones físicas o entidades en donde opera la empresa.
• Identificar sistemas de información: se obtiene la lista de los sistemas de información que se poseen en cada instalación.
• Evaluar la criticidad de los sistemas de información: se califica la criticidad de cada uno de los procesos relacionados con la Empresa, haciendo uso de una tabla de criticidad.
• Determinar el RTO, RPO y MTD de cada sistema: se estima, mediante encuestas o entrevistas, el tiempo de recuperación objetivo, el punto de recuperación objetivo y el tiempo máximo tolerable fuera de servicio para cada proceso en cada instalación con el fin de ayudar en la definición de las estrategias de recuperación.
3. Evolución del riesgo y gestión del riesgo
Importante para la toma de decisiones como por ejemplo las decisiones financieras. Se deben realizar las distintas actividades siguientes:
• Identificar amenazas: Para la identificación de las amenazas a las que pueden enfrentarse los proceso críticos del sistema se deben realizar entrevistas con expertos de la organización, quienes suministrarán información sobre cuáles son las amenazas con mayor impacto, desde la perspectiva de continuidad del servicio y de sus procesos y sistemas críticos, las que podrían llegar a afectar el sistema, es decir, que podrían causar pérdida financiera por demandas, pérdida de imagen por la degradación del servicio entre otras…
• Identificar vulnerabilidades: Lo anterior nos lleva a pensar que se necesita contar con una estrategia más coherente y efectiva para mitigar esta inquietante y crítica amenaza, por tanto, se le informará a la empresa de las vulnerabilidades asociadas a la empresa y elementos considerados como críticos en la prestación de sus servicios. Se establece, de esta manera, el conjunto de vulnerabilidades que posee cada proceso crítico del servicio de la entidad que al ser explotadas por una amenaza afectarían la operación del sistema.
• Calculo de probabilidad de una ocurrencia.
4. Estrategias de recuperación y continuidad del negocio.
Las estrategias de recuperación están basadas en los resultados obtenidos en el paso 2 de análisis de riesgos. Consiste en crear una estrategia adecuada que sirva de base para realizar el plan de recuperación de desastres en la empresa.
Los elementos a considerar son:
- Redes Locales
- Redes MAN
- Personas
- Infraestructura física
- Aplicaciones
- Hardware
5. Roles y responsabilidades
Igualmente, deben establecerse las estructuras organizacionales, los perfiles de los cargos y los procesos, que darán sostenibilidad a la continuidad del servicio. La definición de roles y responsabilidades es uno de los aspectos más importantes del Plan de Recuperación ante desastres, porque aquí se determinan cada una de las actividades de los responsables de ejecutar el Plan, y estas actividades corresponden a las que hay que ejecutar antes, durante y después del desastre.
6. Pruebas del plan
La fase de prueba debe contener las actividades más importantes que requieran comprobación y certeza en su funcionamiento futuro. Se debe probar dentro de un ambiente que simule las condiciones que serían aplicables en una emergencia verdadera. Es también importante que las pruebas se lleven a cabo por las personas que serían responsables de esas actividades en una crisis.
Estas pruebas comprenden:
6.1 Desarrollo de los objetivos y alcance de la prueba
6.2 Configuración del ambiente de prueba
6.3 Preparación de los datos de la prueba
6.4 Identificación de quién dirigirá la prueba
6.5 Identificación de quién controla y supervisa la prueba
6.6 Preparación de cuestionarios de evaluación
6.7 Preparación de presupuesto para la fase de prueba
6.8 Entrenamiento a los grupos de prueba de las unidades de negocio
