Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es la recuperación de desastres?

[09/02/2018] Los desastres vienen en todas las formas y tamaños. No son solo eventos catastróficos como huracanes, terremotos y tornados, sino también incidentes como ciberataques, fallas en los equipos e incluso terrorismo pueden clasificarse como desastres.

Las empresas y organizaciones se preparan creando planes de recuperación de desastres que detallan las acciones a seguir y los procesos a seguir para reanudar rápidamente las funciones de misión crítica sin mayores pérdidas en ingresos o negocios.

¿Qué es la recuperación de desastres?

En el espacio de TI, la recuperación de desastres se centra en los sistemas de TI que ayudan a respaldar funciones comerciales críticas. El término "continuidad del negocio" a menudo se asocia con la recuperación de desastres, pero los dos términos no son completamente intercambiables. La recuperación de desastres es parte de la continuidad del negocio, que se enfoca más en mantener todos los aspectos de un negocio funcionando a pesar del desastre. Debido a que los sistemas de TI actualmente son tan críticos para el éxito del negocio, la recuperación de desastres es un pilar principal en el proceso de continuidad del negocio.

El costo de los desastres

Las pérdidas económicas y operacionales pueden abrumar a las empresas no preparadas. Una hora de inactividad puede costarles a las pequeñas empresas hasta ocho mil dólares, a las medianas hasta 74 mil y a las grandes empresas hasta 700 mil, según un informe del 2015 del Disaster Recovery Preparedness (DRP) Council.

Causas más comunes del tiempo de inactividad de TI

La mayoría de organizaciones encuestadas por Zetta han experimentado un tiempo de inactividad no planeado/inesperado debido a cortes de energía, errores de hardware y más.

  • Cortes de energía: 75%
  • Error de hardware: 52%
  • Error humano: 35%
  • Ataque de virus o malware: 34%
  • Desastres naturales: 20%
  • Desastres insitu: 11%

Otra encuesta del proveedor de servicios de recuperación de desastres Zetta mostró que más de la mitad de las empresas encuestadas (54%) habían experimentado un evento de inactividad que duró más de ocho horas en los últimos cinco años. Asimismo, dos tercios de los encuestados dijeron que sus negocios perderían más de veinte mil dólares por cada día de inactividad.

Evaluación de riesgos

Incluso si su empresa ya tiene un plan de recuperación de desastres de algún tipo, puede ser momento de una actualización. Si su empresa no tiene uno, y si se le ha encomendado la tarea de idearlo, no comience sin hacer una evaluación de riesgos. Identifique las vulnerabilidades de su infraestructura de TI y los lugares en donde las cosas podrían salir mal. Un requisito previo es saber cómo es su infraestructura de TI.

Saber dónde es que las cosas pueden salir mal no significa que comience a crear planes en los peores escenarios. En una publicación reciente en el blog Disaster Recovery Journal, los autores Tom Roepke y Steven Goldman sugieren que nombrar el peor de los casos en la planificación de la continuidad del negocio puede ser peligroso al desviar la atención de otras amenazas importantes:

"La tendencia natural es tratar de nombrar o definir cuál es el peor escenario posible. Esto se convierte en un defecto fatal porque da forma a todo el esfuerzo de planificación a partir de ahí, incluso si es en un nivel subconsciente. De esa manera, cuando insertamos un escenario con nombre -pandemia, terremoto, ataque cibernético, etc- automáticamente comenzamos a pensar y a planificar en términos de respuesta/recuperación para ese incidente específico y subconscientemente definido. Cuando esto ocurre, no solo nos lleva a tener una visión limitada en los esfuerzos de planificación, sino que también corremos el riesgo de aumentar nuestro riesgo y exposición. Esto se debe a la existencia de un hiper-enfoque en solo una o dos áreas específicas que creemos que son los peores casos, y no en el evento real. Fuente: The 'Worst Case Scenario' Myth

La clave, sugieren Roepke y Goldman, es centrarse en "gestionar la crisis, restaurar las funciones críticas del negocio y recuperar todo al tiempo que se comunica con las partes interesadas.

Lo que debe incluir un plan de recuperación de desastres

Escriba "plantilla de plan de recuperación de desastres" en Google y aparecerán docenas, si no cientos, de plantillas. Úselos para comenzar y modificar para su negocio u organización.

El plan en sí debe incluir lo siguiente:

  • Declaración, resumen y objetivos principales del plan.
  • Información de contacto para el personal clave y los miembros del equipo de recuperación de desastres.
  • Descripción de las acciones de respuesta de emergencia inmediatamente después de un desastre.
  • Diagrama de toda la red de TI y el sitio de recuperación. No olvide incluir instrucciones sobre cómo llegar al sitio de recuperación para el personal que necesita llegar allí.
  • Identificar los activos de TI más críticos y determinar el tiempo máximo de interrupción. Conocer los términos Objetivo de Punto de Recuperación (RPO) y Objetivo de Tiempo de Recuperación (RTO). RPO indica la "edad" máxima de los archivos que una organización debe recuperar del almacenamiento de respaldo para que las operaciones normales se reanuden después de un desastre. Si elige un RPO de cinco horas, entonces el sistema debe realizar una copia de seguridad al menos cada cinco horas. El RTO es la cantidad máxima de tiempo, después de un desastre, para que la empresa recupere sus archivos del almacenamiento de respaldo y reanude las operaciones normales. Si su RTO es de tres horas, no puede estar inactivo por más tiempo.
  • Lista de software, claves de licencia y sistemas que se usarán en el esfuerzo de recuperación.
  • Documentación técnica de proveedores de software de sistemas de tecnología de recuperación.
  • Resumen de la cobertura de seguro.
  • Propuestas para tratar asuntos financieros y legales, así como la difusión mediática.

Crear un equipo de recuperación de desastres

El plan debe ser coordinado por los miembros del equipo de TI responsables de la infraestructura crítica dentro de la empresa. Otros que deben conocer el plan incluyen al CEO o a un gerente senior delegado, directores, líderes de departamento, recursos humanos y funcionarios de relaciones públicas.

Fuera de la empresa, los proveedores asociados con los esfuerzos de recuperación de desastres (software y copia de seguridad de datos, por ejemplo) y su información de contacto deben ser conocidos. Los propietarios de las instalaciones, los administradores de la propiedad, los contactos con las fuerzas del orden público y los que responden a emergencias también deben conocerse y enumerarse dentro del plan (y ser actualizados con frecuencia a medida que cambian los nombres o los números de teléfono).

Una vez que el plan esté escrito y aprobado por la administración, pruébelo y actualícelo si es necesario. Asegúrese de programar el siguiente período de revisión y/o auditoría de las funciones de recuperación de desastres. Actualice, actualice y actualice según ocurran los eventos (grandes o pequeños). No solo coloque el plan en el cajón de un escritorio y espere a que no ocurra un desastre.

Ha ocurrido un desastre, ¿y ahora qué?

Si ha ocurrido un desastre, es hora de comenzar su respuesta al incidente. Asegúrese de que el equipo de respuesta a incidentes (si es diferente del equipo de planificación de recuperación ante desastres) tenga una copia del plan de recuperación de desastres.

La respuesta al incidente implica evaluar la situación (saber qué hardware, software, sistemas se vieron afectados por el desastre), la recuperación de los sistemas y el seguimiento (qué funcionó, qué no funcionó, qué se puede mejorar).

La próxima ola: Cloud o recovery-as-a-service

Al igual que muchos otros sistemas de TI empresariales que se han trasladado a la nube, también lo ha hecho la recuperación de desastres. Los beneficios de la nube incluyen un costo más bajo, una implementación más fácil y la capacidad de probar planes regularmente. Sin embargo, esto podría venir con mayores necesidades de ancho de banda o degradación del rendimiento de la red de una empresa con sistemas más complejos.

Un informe de Gartner del 2016 identificó a más de 250 proveedores de ofertas de DRaaS. Está claro que probablemente no desee revisar 250 empresas y sus ofertas, así que este es un buen lugar para comenzar: Mike Smith, fundador y presidente de AeroCom, y un colaborador de la red IDG, ofreció un informe que analiza alrededor de 20 proveedores diferentes de DRaaS. Aquí hay otra reseña reciente de algunas de las mejores compañías de DRaaS para ver.

La firma de análisis Forrester Research también tiene una visión del mercado DRaaS. Evaluó a los 10 jugadores más importantes del mercado en su informe de Forrester Wave https://www.forrester.com/report/The+Forrester+Wave+DisasterRecoveryAsAService+Providers+Q2+2017/-/E-RES134683 (disponible por 2,500 dólares)

Artículos relacionados