¿Qué supondría para ti perder toda la información de tu empresa? ¿Que tus empleados estuvieran 8h sin trabajar por un fallo técnico? ¿Que los datos de tus clientes se vieran expuestos por un error informático? Indudablemente, un desastre.
Cualquier empresa en un momento determinado puede padecer “desastres”, puesto que en la mayoría de casos, a pesar de que se tomen las medidas adecuadas, son incontrolables.
Para evitar que el desastre se convierta en un “apocalipsis” para tu empresa, es casi obligatorio disponer de un plan o estrategia de recuperación de desastres o Disaster Recovery. Tener un plan de actuación para saber en todo momento cómo proceder en estos casos, es una buena manera de minimizar los daños.
Un Disaster Recovery Plan o un plan de recuperación ante desastres es un conjunto de acciones y recursos, técnicos y humanos, que sirven para establecer protocolos de actuación. Se trata de determinar cómo va a proceder la empresa para minimizar los daños y recuperar la normalidad en el mínimo tiempo posible y al menor coste.
Para la implementación de un Disaster Recovery Plan debes tener en cuenta cosas como por ejemplo:
Desarrollar políticas para garantizar la continuidad de tu actividad empresarial.
Evaluación de riesgos frente a desastres.
Análisis del impacto que podrían tener para tu empresa.
Establecer estrategias de recuperación ante desastres.
Poner a disposición de toda la empresa los protocolos y procesos a seguir.
Probar los protocolos y estrategias para verificar su efectividad.
Mejora continua del plan de recuperación.
¿Qué herramientas se necesitan para un DRP?
Como hemos mencionado en párrafos anteriores, antes de establecer un Disaster Recovery Plan (DRP) aconsejamos que analices y evalúes toda la información y sistemas de los que dispones y que son necesarios para desarrollar tu actividad empresarial.Una vez analizados los datos inferiremos las posibles vulnerabilidades y podremos establecer un plan de minimización.
Para ello, te recomendamos que consideres:
Disponer de la información en un soporte o repositorio totalmente ajeno al negocio, como por ejemplo copias de seguridad externas o backups.
Espacio de reserva para alojar aplicaciones también ajeno a la empresa.
Replicar la información confidencial o crítica. Recomendamos hacerlo cada día y a ser posible por franjas horarias, de esta manera acotarás más los posibles daños.
Habilitar escritorios remotos para tus empleados.
Manual de procedimientos. Es importante que todo quede por escrito al detalle y esté accesible para todos.
Disponer de un Disaster Recovery Plan te ayuda a garantizar la continuidad de tus operaciones. Establecer protocolos de actuación ante desastres agiliza la vuelta a la normalidad en tu empresa.
Establecer un protocolo significa que en cada momento sabes lo que tienes que hacer y cómo debes hacerlo. Los DRP facilitan la actuación de la empresa porque la toma de decisiones ya es planteada de antemano.
Tener una buena estrategia o plan de recuperación frente a desastre ayuda aminorar las pérdidas ya que contribuye a recuperar la normalidad del sistema de una manera mucho más ágil, sabiendo en todo momento cómo proceder.
Una actuación rápida y eficaz será la clave para amortiguar los daños y mantener la reputación de la empresa. Realizar los pasos correctos y los protocolos adecuadas es la mejor manera de transmitir confianza a tus empleados y clientes, demostrando que dispones de los recursos necesarios para garantizar la continuidad de tu actividad empresarial.
Un desastre puede suponer incumplimientos legales, como por ejemplo vulnerar la Ley de Protección de Datos, provocando elevadas multas y sanciones.
Saber que dispones de un plan para solventar cualquier tipo de desastre dentro de tu empresa te permitirá dormir tranquilo, sabiendo que, pase lo que pase, dispones de los medios y recursos para recuperarte de manera fácil y rápida.
Como ya hemos comentado, el Disaster recovery Plan es un documento, o “instrucciones” sobre cómo actuar en situación de desastre. No hay nada peor que en una situación de emergencia, que la gente se ponga a correr en todas direcciones, sin ningún orden ni sentido. Eso, no hace más que empeorar la situación y aumentar la probabilidad de daño o fracaso en la gestión del incidente.
En situaciones como estas nos abordan todas las dudas del mundo, siendo incapaces de dar un paso adelante por miedo a equivocarnos. Es por este mismo motivo que, por ejemplo, se hacen simulacros de incendios, o simulacros de evacuación en términos de seguridad física.
En las oficinas, hoteles, estadios, etc. existen planes para este tipo de contingencias y el personal está correctamente entrenado para seguir unas instrucciones y ayudar/guiar a los huéspedes o visitantes. Es por eso que dentro de lo crítico de una situación de desastre se consigue hacer las cosas de manera ordenada y en un tiempo contenido, optimizando así los resultados.
En la seguridad informática no es distinto, ¿por qué iba a serlo?
Si nos encontramos frente a una situación de desastre informático absoluto, en la cual se paraliza la actividad de la empresa, mejor no tener que improvisar, ¿no crees?
Aquí es cuando entran en juego los planes de contingencia, y contra mejor pensados, definidos y probados estén, mejor.
A modo de resumen, llegada la situación, un DRP será tu manual de instrucciones sobre qué tienes que hacer para recuperar una actividad funcional hasta que puedas volver a la situación de normalidad, minimizando el impacto en nuestra actividad.
Disaster Recovery es el mecanismo técnico que se utilizará para hacer posible el DRP, por lo tanto es aquel conjunto de herramientas informáticas que nos permitirán superar el impaso hasta la recuperación total.
Un ejemplo muy simple de describir (no tanto de implementar):
Vamos a suponer un mecanismo técnico para superar la caída o el fuera de servicio de un servidor de ficheros local. Si tenemos un servidor de ficheros en las oficinas locales (aunque sea dentro de un Data Center), ¿cómo continuamos trabajando si este deja de funcionar?
Vamos a suponer que ha habido un error grave como por ejemplo que se quema o se moja, dejándolo fuera de juego. ¿Qué hacemos?
- “¡Tiramos de backups!” podría pensar alguien, pues lamentamos decirte qeu no es suficiente puesto que... ¿Sobre qué servidor montamos el backup si el único que tenemos se ha quemado/mojado? Alguien dirá:
- “Fácil, compraré otro y lo tendré por si acaso el primero se quema”.
Bien, en este momento este “alguien” está empezando a construir un DRP, ya que está pensando en alternativas para mantener la continuidad de su negocio. Yo le diría, buen intento, ¿es posible que este servidor de repuesto fueses a guardarlo al lado del servidor que se acaba de quemar/mojar?
- “No, que va…”.- Diría, pero en el fondo todos pensamos que sí lo harías. Pero sigamos en el supoesto que no, ¿qué pasa si hay un incendio en la fábrica/edificio/datacenter? Yo le diría:
- Mira hacia arriba- él/ella lo hace- sí, hacia la nube.
La nube es un buen sitio donde tener un DR, un servidor esperando a “encenderse” para recuperar tu actividad.
Saltemos un poco más hacia delante, salvando esos “flecos” (complicadísimos flecos), en el que hemos conseguido montar un sistema que sincronice todo lo que estamos haciendo en el servidor de la oficina, instantáneamente en el servidor de la nube, por si éste se quema que podamos utilizar el de la nube sin pérdida ni diferencia de información.
Bien, ¿ya está todo listo cierto?
- “¿No me vas a decir que la nube también se puede quemar verdad?”
En realidad sí puede hacerlo, pero tenemos claro que el 100% de seguridad no existe en ningún aspecto de la vida (que se lo digan a los dinosaurios), por lo tanto vamos a suponer que este es un escenario válido.
Pues aún queda el último (y podría ser el más importante) punto. ¿Cómo volvemos a la normalidad?
Fijaros en un detalle, si hemos pasado de modificar nuestros datos del servidor local, a modificarlos en el servidor de la nube, tenemos que tener también el procedimiento inverso preparado. De otro modo nos quedaremos “atrapados” en la nube, por la incapacidad de devolver los datos de trabajo al servidor local y recuperar de éste modo la normalidad.
- “Vaya, esto del DRP y DR parece algo importante, me parece que lo mejor será contratar al equipo de ESED para que me lo pongan a punto”
Vaya, este “alguien” parece un chico/a listo/a ;)
- “Y todo esto lo quiero automático y sin tiempo de fuera de servicio!”
Claro, claro, por supuesto… :)