8 Componentes Imprescindibles de un Plan Eficaz de Recuperación de Desastres

SEPTEMBER 15TH, 2020

En lo que va del 2020, la reorganización luego de los 11 ataques de ransomware más grandes le ha costado a gobiernos municipales, universidades y empresas privadas más de USD 144 millones, sin contar la pérdida de productividad y el daño a la reputación.

Los desastres golpean a las organizaciones de muchas maneras, desde ransomware a caídas de rayos, sin ningún tipo de advertencia. De modo que es fundamental tener un plan de recuperación de desastres (DR) diseñado, implementado y probado mucho antes de que puedas llegar a necesitarlo.

Tu plan de DR debe existir como parte de un plan integral de continuidad del negocio, y como mínimo, incluir estos ocho elementos.

1. Inventario completo de hardware/software/otros equipos

Al crear un plan de DR, tienes que considerar qué recursos necesitarás que se recuperen. Realiza un inventario completo de cada pieza de hardware, software y periférico que esté en contacto con tus redes o que sea utilizado por tus empleados, contratistas y proveedores.

Esto implicará un proyecto bastante extenso, ya que deberás tener en cuenta todas las tecnologías y herramientas locales, basadas en la nube, móviles/BYOD que utiliza tu organización.

2. Objetivos empresariales documentados

La recuperación de desastres a veces se trata más sobre decisiones empresariales que decisiones de TI. De modo que es imprescindible involucrar a todas las unidades empresariales y accionistas en la conversación sobre objetivos empresariales, así sabrás dónde centrarte primero durante la recuperación.

Comienza realizando un mapeo de toda la infraestructura para asegurarte de que se tengan en cuenta todos los sistemas. Una vez que sepas qué se está protegiendo, puedes establecer prioridades para asegurarte de que las aplicaciones y los sistemas más importantes estén en funcionamiento en primer lugar.

Divide los sistemas y las aplicaciones en tres niveles para facilitar los esfuerzos de recuperación:

  • Elementos críticos: Estos son la primer prioridad. Haz una copia de seguridad de estos sistemas inmediatamente para evitar la pérdida de datos masiva o una interrupción grave de las operaciones empresariales.
  • Esenciales: Estos sistemas son menos críticos y pueden no estar disponibles hasta 24 horas sin causar un impacto significativo a la empresa.
  • No esenciales: Las aplicaciones que tengan menor prioridad porque las empresas pueden funcionar sin ellas por algunos días.

Asegúrate de tener en cuenta las dependencias del sistema en tus objetivos comerciales, porque podrían afectar la manera en la que priorizas tus esfuerzos de recuperación.

3. Tolerancia definida para el tiempo de inactividad y la pérdida de datos

Con tus objetivos comerciales documentados a mano, puedes definir objetivos de tiempo de recuperación (RTO) y objetivos de punto de recuperación (RPO). Estas son las medidas que utilizarás para determinar tu tolerancia al tiempo de inactividad y la pérdida de datos. En otras palabras, estas medidas te permitirán determinar cuánto tiempo puede estar fuera de servicio una aplicación sin causar un daño significativo a la empresa (RTO), y la cantidad de datos que podrían perderse antes de que ocurra un daño significativo a la empresa (RPO).

4. Un equipo de DR

Un equipo de DR capacitado es imprescindible durante una crisis. A cada miembro del equipo se le asigna una tarea específica, y así no hay dudas sobre quién es responsable de qué parte del esfuerzo de recuperación.

Este equipo también estará a cargo de las comunicaciones durante la crisis y será un punto de contacto para los accionistas. El equipo de respuesta al desastre está a cargo de capacitar al personal, de modo que todos estén al tanto de los procedimientos y las políticas de respuesta de emergencia durante un desastre.

5. Espacios de trabajo alternativos

En el caso de un incendio o un desastre natural, tu espacio de oficina puede no estar accesible. Tener un plan que le permita a los empleados trabajar de manera remota ayudará a mantener la empresa en funcionamiento con la mayor normalidad posible.

Asegúrate de que todos los empleados tengan o puedan acceder rápidamente a una portátil y a una conexión a Internet. Disponibiliza correos electrónicos y soluciones de sistemas telefónicos alternativos que brinden líneas de comunicación esenciales para empleados, clientes y proveedores para mantenerte accesible.

6. Acceso remoto

Ya sea que estés usando VPN, RDP, SSH u otra tecnología de control de acceso, acceder a los datos y aplicaciones de una empresa de manera remota puede ser un riesgo de seguridad. Esto se volvió muy evidente cuando las preocupaciones por el COVID-19 forzaron repentinamente a millones de empleados a trabajar desde casa.

Cuando se está en plena crisis no es el mejor momento para descubrir que tu infraestructura no puede manejar el acceso remoto de manera segura. Actualiza tu tecnología de seguridad ahora para garantizar que se pueda acceder a tus datos de manera segura desde fuera del firewall.

7. Seguridad para tus backups

La calidad y frecuencia de tus copias de seguridad serán la salvación o perdición en tus esfuerzos de DR. Considera las siguientes mejores prácticas para mantener tus copias de seguridad protegidas y accesibles durante una crisis:

  • Mantén tus copias de seguridad separadas e inaccesibles de la red principal de la empresa. Algunos ransomware pueden infiltrarse en la red y cifrar los datos de la copia de seguridad, dejándolos inútiles.
  • Implementa una estrategia de backup 3-2-1: crea tres copias de tus datos, almacénalas en dos medios diferentes y guarda una de esas copias fuera de la empresa o en la nube.
  • Invierte en un backup en la nube y una solución de DR que simplifique el backup y la recuperación al proporcionar una IU central y la tecnología y herramientas de recuperación de desastres más actualizadas.

8. Una estrategia de prueba integral

No esperes a que ocurra un desastre para descubrir si tu plan de DR funciona. Implementa una estrategia de prueba integral ahora (y realmente ponla en práctica). Tu estrategia debe lograr tres objetivos:

  • Probar tus copias de seguridad para asegurar que tus datos están protegidos y pueden recuperarse
  • Probar tus procesos de DR para asegurar que funcionen
  • Probar a tu personal para garantizar que sepan qué hacer en una emergencia real

Ninguna organización quiere verse saliendo de un desastre, pero la realidad es que los ataques de ransomware, los huracanes, los incendios forestales y el error humano tradicional pueden ocurrir en cualquier momento. Descarga Cómo crear un plan de recuperación de desastres para conocer más acerca de cómo preparar a tu organización, para que una crisis no se convierta en el peor escenario.