5 puntos clave que no pueden faltar en tu DRP

Asegurar la continuidad de los servicios TI es una parte esencial de la seguridad de una empresa. Esto requiere, entre otras cosas, contar con una solución de back up que permita la restauración de estos servicios en caso de que se produzca cualquier daño o incidente.

Un DRP (Disaster Recovery Plan) es un documento clave para todas las empresas, especialmente aquellas en las que la disponibilidad de sus sistemas debe estar garantizada. Se trata de un documento en el que deben quedar detallados los diferentes pasos y procedimientos que se deben seguir en la empresa para llevar a cabo la recuperación de la actividad en el caso de que se produzca un fallo.

El objetivo principal es poder reanudar la actividad en el menor tiempo y con la menor pérdida de información posible.

Una de las primeras acciones que debemos realizar es un inventario y registro de todos los activos de la organización (hardware, software, network, servicios SaaS, VMs…), especificando todos los detalles, como su ubicación o la red en la que se encuentran.

Una vez que tenemos el listado de nuestros recursos, podemos establecer una prioridad de recuperación para cada uno, teniendo en cuenta su impacto en la continuidad de la actividad de la empresa. Este paso es importante, ya que no se puede recuperar todo al mismo tiempo.

Un DRP debe contener una estimación del tiempo que la empresa puede seguir funcionando sin determinados servicios y sin que esto afecte a su actividad. Por ello, es importante establecer el objetivo principal del plan de recuperación, así como las métricas RPO y RTO:

• RPO (Recovery Point Objective): se refiere a la cantidad de datos reales que la empresa está dispuesta a perder desde que se realiza la última copia de seguridad hasta que se produce el incidente. Se mide en tiempo, es decir, desde el momento del fallo hasta la última copia válida. Un ejemplo sería si hacemos copias de seguridad cada 3 horas, el RPO es de 3 horas.
• RTO (Recovery Time Objective): es el tiempo máximo que la empresa puede asumir una interrupción de los servicios sin que esto cause daños significativos en la actividad de la empresa. Por ejemplo, recuperación en 3 horas. En este punto hay que tener también en cuenta los tiempos de restauración de los servicios afectados.

Estas métricas pueden no depender únicamente de su impacto en el negocio, sino que muchos sectores cuentan con ciertas regulaciones de obligado cumplimiento y que deben tenerse en consideración a la hora de definirlas.

Una vez tenemos nuestro inventario de recursos y tenemos clara la importancia y el impacto de cada uno de ellos, así como los objetivos y métricas que debemos alcanzar para que el daño a la empresa sea el menor posible, podemos elegir las estrategias y tecnologías que vamos a utilizar para garantizar estos objetivos. Para ello, también influirán otros factores como el presupuesto, los recursos disponibles, proveedores, etc.

En un DRP es importante especificar las personas que van a intervenir, sus responsabilidades y qué tareas llevará a cabo cada uno, para tener la mejor organización posible. Para ello, debemos disponer de los datos de contacto de todas las personas involucradas, tanto las personas internas como las personas externas de todos aquellos servicios de terceros que puedan necesitar intervenir de alguna manera.

Es un paso imprescindible realizar al menos una prueba periódicamente para comprobar que todos los procedimientos funcionan de manera correcta. Esto nos permite detectar los puntos fuertes y débiles de nuestro plan para corregir aquello que no se ajuste a nuestros objetivos.

También hay que tener en cuenta que un DRP puede necesitar modificaciones, sobre todo cuando se producen cambios significativos en la propia empresa, como puede ser un cambio en la infraestructura TI. Es por esto que realizar una revisión periódica es fundamental.