¿Qué es un DRP?
Asegurar la continuidad de los servicios TI es una parte esencial de la seguridad de una empresa. Esto requiere, entre otras cosas, contar con una solución de back up que permita la restauración de estos servicios en caso de que se produzca cualquier daño o incidente.
Un DRP (Disaster Recovery Plan) es un documento clave para todas las empresas, especialmente aquellas en las que la disponibilidad de sus sistemas debe estar garantizada. Se trata de un documento en el que deben quedar detallados los diferentes pasos y procedimientos que se deben seguir en la empresa para llevar a cabo la recuperación de la actividad en el caso de que se produzca un fallo.
El objetivo principal es poder reanudar la actividad en el menor tiempo y con la menor pérdida de información posible.
5 puntos clave que todo DRP debería incluir.
1. Realizar inventario, análisis y priorización de recursos
Una de las primeras acciones que debemos realizar es un inventario y registro de todos los activos de la organización (hardware, software, network, servicios SaaS, VMs…), especificando todos los detalles, como su ubicación o la red en la que se encuentran.
Una vez que tenemos el listado de nuestros recursos, podemos establecer una prioridad de recuperación para cada uno, teniendo en cuenta su impacto en la continuidad de la actividad de la empresa. Este paso es importante, ya que no se puede recuperar todo al mismo tiempo.
2. Definir los objetivos y métricas
Un DRP debe contener una estimación del tiempo que la empresa puede seguir funcionando sin determinados servicios y sin que esto afecte a su actividad. Por ello, es importante establecer el objetivo principal del plan de recuperación, así como las métricas RPO y RTO:
- RPO (Recovery Point Objective): se refiere a la cantidad de datos reales que la empresa está dispuesta a perder desde que se realiza la última copia de seguridad hasta que se produce el incidente. Se mide en tiempo, es decir, desde el momento del fallo hasta la última copia válida. Un ejemplo sería si hacemos copias de seguridad cada 3 horas, el RPO es de 3 horas.
- RTO (Recovery Time Objective): es el tiempo máximo que la empresa puede asumir una interrupción de los servicios sin que esto cause daños significativos en la actividad de la empresa. Por ejemplo, recuperación en 3 horas. En este punto hay que tener también en cuenta los tiempos de restauración de los servicios afectados.
Estas métricas pueden no depender únicamente de su impacto en el negocio, sino que muchos sectores cuentan con ciertas regulaciones de obligado cumplimiento y que deben tenerse en consideración a la hora de definirlas.
3. Elegir las mejores herramientas según nuestros objetivos
Una vez tenemos nuestro inventario de recursos y tenemos clara la importancia y el impacto de cada uno de ellos, así como los objetivos y métricas que debemos alcanzar para que el daño a la empresa sea el menor posible, podemos elegir las estrategias y tecnologías que vamos a utilizar para garantizar estos objetivos. Para ello, también influirán otros factores como el presupuesto, los recursos disponibles, proveedores, etc.
4. Definir los roles, responsabilidades y tareas
En un DRP es importante especificar las personas que van a intervenir, sus responsabilidades y qué tareas llevará a cabo cada uno, para tener la mejor organización posible. Para ello, debemos disponer de los datos de contacto de todas las personas involucradas, tanto las personas internas como las personas externas de todos aquellos servicios de terceros que puedan necesitar intervenir de alguna manera.
5. Probar y revisar el DRP
Es un paso imprescindible realizar al menos una prueba periódicamente para comprobar que todos los procedimientos funcionan de manera correcta. Esto nos permite detectar los puntos fuertes y débiles de nuestro plan para corregir aquello que no se ajuste a nuestros objetivos.
También hay que tener en cuenta que un DRP puede necesitar modificaciones, sobre todo cuando se producen cambios significativos en la propia empresa, como puede ser un cambio en la infraestructura TI. Es por esto que realizar una revisión periódica es fundamental.
¿Qué ventajas tiene contar con DRP?
- Menor riesgo de pérdida de información crítica y de pérdida de reputación, con el impacto negativo que esto puede conllevar para nuestros clientes.
- Disminuimos los gastos económicos no previstos que puede implicar una interrupción de la actividad de nuestra empresa.
- Garantizamos la continuidad de nuestro negocio o disminuimos los tiempos de inactividad antes de que puedan afectar de manera crítica a nuestra empresa
Y tú, ¿cuentas con un Plan de Recuperación ante Desastres para tu empresa? ¿Qué otros pasos consideras clave para un DRP?