Pasar al contenido principal

DRP – Disaster Recovery Plan

Las organizaciones generan y almacenan grandes cantidades de datos, ya sean más o menos críticos. La pérdida de estos datos puede traer consigo consecuencias catastróficas para el futuro de la organización por lo que se hace esencial contar con un plan de recuperación de desastres o por sus siglas en inglés un DRP (Disaster Recovery Plan). Como su propio nombre indica, un plan de recuperación ante desastres articula los procesos de restauración de las operaciones después de una interrupción importante. 

Un DRP exitoso es aquel que aborda todos los tipos de interrupciones que se pueden dar en una organización, organizándolo por tipo de desastre y ubicación. El hecho de que incluya la mayor cantidad de tipos de interrupciones da robustez a la empresa, ya que sabrá como actuar en diferentes situaciones: cortes de energía, cortes del sistema telefónico, inundaciones, posibles incendios… El DRP debe contener, para cada uno de los desastres indicados, una serie de instrucciones para que cualquier persona sea capaz de actuar.

Durante las siguientes líneas, se explicará de manera detallada qué debe contener un plan de recuperación ante desastres junto a una serie de pasos para su elaboración.

¿Qué debe incluir un DRP?

Aunque cada plan se ajustará a las necesidades o a los peligros a las que cada organización está expuesta, todos ellos tienen una estructura base. Los principales aspectos que un plan de recuperación ante desastres debe tener son los siguientes:

Objetivos

EL DRP debe incluir objetivos. Estos objetivos ayudarán a definir qué es lo que la organización quiere tanto después de que el desastre haya ocurrido como durante el desastre. Es recomendable definir en los objetivos lo que se conoce como RTO y RPO.

  • RTO (Recovery Time Objective) hace referencia al tiempo objetivo en el que una aplicación o servicio debe ser restaurada después del desastre. En otras palabras, cuál es el tiempo que nos va a costar reanudar el servicio una vez producido el desastre, durante este tiempo se aplicaran los protocolos establecidos en el plan de contingencia.
  • RPO (Recovery Point Objective) describe el intervalo de tiempo que puede pasar durante una interrupción antes de que la cantidad de datos perdidos durante ese periodo supere el umbral máximo establecido en el Plan de Continuidad de Negocio. En pocas palabras, el RPO es la cantidad máxima de información que se puede perder.

 

En la siguiente imagen pueden verse de manera más grafica estos dos últimos conceptos:

Una vez ocurrido un desastre, existe un tiempo objetivo de recuperación (RTO) hasta que el sistema quede recuperado totalmente. Además, el RPO define la cantidad máxima permitida de datos perdidos medidos en el tiempo, desde que el desastre ocurre hasta el último backup.

DRPv2

Personal

Todo plan de desastres debe definir cuáles son las personas de la organización encargadas de ejecutar el plan de recuperación de desastres.

Inventario de activos

El DRP debe incluir un inventario de activos IT, ya sean hardware, software o servicios, necesarios para el desarrollo productivo de la empresa.

Procedimiento backup

El uso de copias de seguridad permite recuperar datos antiguos en caso de que ocurra un desastre. El DRP debe establecer cómo realizar las copias de seguridad de toda la información almacenada en la organización. Debe incluir el lugar a realizar (dispositivos, ubicación…), la frecuencia con la que se realizará, procedimiento de recuperación, …

Procedimientos de recuperación

Por último, el DRP debe incluir procedimientos de recuperación detallados para recuperarse de un desastre y permitir así que la organización vuelva a la “normalidad” lo antes posible. Estos procedimientos detallados, permiten que las personas sepan cómo actuar ante cada situación, agilizando el tiempo de recuperación y evitando situaciones de duda o desconocimiento.

Como elaborar un DRP

Elaborar un DRP requiere la realización de un análisis sobre la situación actual de la organización y las amenazas a las que ésta se expone. Además, es necesario probar que el plan realmente funciona y actualizarlo periódicamente para que siga siendo aplicable. Los pasos a seguir para elaborar un DRP son los siguientes:

1.Identificación de activos

El primer paso es identificar aquellos activos de la organización que se desean proteger (hardware, software, servicios, …) así como los datos que pueden llegar a almacenarse en los mismos. Indicar ubicaciones físicas, virtuales, tipo de información almacenada, … 

2.Identificación de la criticidad

La caída de algunos activos puede comprometer el futuro de la organización. Por ello, es importante identificar la importancia que tiene cada uno de los activos para la organización, clasificándolos según el impacto que tendría en la organización la interrupción de cada uno de ellos.

3.Evaluación de riesgos

Realizar una evaluación de riesgos, identificando las amenazas a las que estos activos están expuestos y la probabilidad real de que éstas se materialicen.

4.Definir los objetivos

Definir el RTO y el RPO. Para definir estos conceptos es necesario contrastar con la dirección el impacto de los tiempos de interrupción (minutos, horas, días…) para cada sistema crítico identificado.

5.Selección de la configuración y herramientas de recuperación

Una vez definidos los objetivos, es hora de analizar las diferentes herramientas o métodos   que se quieren utilizar para lograr los objetivos del plan de recuperación de desastres.

6.Presupuesto

Aunque implementar medidas para la recuperación ante desastres puede salvar el futuro de una organización, siempre está sujeto a un presupuesto. Se deben plantear diferentes opciones a la alta dirección, y ésta debe tomar la decisión sobre cuál o cuáles escoger, haciendo un análisis coste/beneficio.

7.Aprobación

Una vez recolectada toda la información y teniendo claro qué medidas o procedimientos se van a aplicar, se debe redactar una propuesta de DRP, que deberá presentarse a la alta dirección para su aprobación final. 

8.Comunicación del plan

Aprobado el plan, hay que hacérselo llegar tanto a la alta dirección como al equipo de recuperación de desastres, así como a aquellas personas de la organización implicadas.

9.Monitorización y mejora continua

La manera más eficaz de ver si el plan elaborado es el adecuado, es enfrentándose a una situación real. Por ello, realizar simulacros emulando situaciones reales permitirá ver si el plan elaborado es eficaz, así como identificar sus debilidades.

Junto a ello, el plan se debe revisar periódicamente, cada 6 meses, por ejemplo, para asegurarse de que sigue siendo aplicable y de que sigue reflejando la estructura organizativa actual.

Beneficios de un DRP

El beneficio directo de tener un plan de recuperación de desastres elaborado e implantado es la continuidad IT. No obstante, aporta más beneficios los cuales afectan tanto a la organización como a su entorno. Algunos de ellos se describen a continuación:

  • Aumento de productividad

Las acciones de un plan de recuperación de desastres deben de ser ejecutadas por personas concretas, las cuales tendrán sus propias tareas que realizar. El hecho de asignar funciones y responsabilidades hace que la productividad y la eficacia aumente.

  • Confianza a clientes

Los clientes buscan empresas que puedan satisfacer su necesidad con una alta calidad de servicio. Por ello, contar con un DRP permite mantener esta calidad de servicio, reduciendo la probabilidad de fallos y transmitiendo confianza al cliente.

Conclusión

La mayoría de las organizaciones cuentan con un plan de recuperación de desastres. Este plan es de vital importancia para el futuro de la organización, ya que garantiza que, ante cualquier imprevisto, existen una serie de medidas y pautas que pueden minimizar su impacto y que permiten recuperar la actividad de IT en la organización afectada.

Para que el DRP tenga éxito, se requiere no solo del compromiso de la alta dirección sino de cada una de las personas implicadas, y es importante concienciar a éstas de la importancia que pueden llegar a tener en el futuro de la organización.