Un Plan de Recuperación ante Desastres (DRP en sus siglas en inglés, por Disaster Recovery Plan) tiene como objetivo recuperar cuanto antes los sistemas de TI que soportan las funciones empresariales críticas para el negocio cuando éste se ve obligado a paralizar su actividad por un desastre. Y en este contexto, no es necesario pensar exclusivamente que los desastres son ataques intencionados o terremotos, también hablamos de incidentes imprevistos pero más habituales, como incendios, inundaciones o, sencillamente, errores humanos.
El Plan de Recuperación ante Desastres incluye todas las precauciones que se han de tomar para que los efectos de cualquier desastre se minimicen. De esta manera, la organización es capaz de mantener sus funciones críticas o es capaz de reanudarlas en el mínimo tiempo posible.
La planificación para recuperarse tras un desastre parte de realizar un análisis previo de los procesos de negocio y las necesidades de continuidad. Es necesario saber qué elementos son críticos para el normal funcionamiento del negocio, y qué se necesita para “levantar” de nuevo la actividad. También hay que ser consciente de que cuanto más complejo sea un sistema IT, más puntos susceptibles de fallo vamos a tener, así que es necesario diseñar planes adaptados al tipo de negocio, los procesos y nivel de seguridad que se necesita.
Planificar y prever
Los desastres son tan numerosos y ocurrirán de manera tan inesperada que siempre vale la pena planificar con holgura. Para diseñar un Plan de Recuperación ante Desastres, lo primero es establecer qué queremos proteger y en cuánto tiempo debemos estar recuperados:
• Evaluar el tiempo de indisponibilidad tolerado. Esto es muy importante, ya que es necesario calibrar cuánto tiempo podemos dejar sin servicio a nuestros clientes antes de tener pérdidas irreparables.
• Revisar el SLA para entender las consecuencias de un desastre. En el SLA se establecen las compensaciones ante la pérdida de calidad en el servicio, por lo tanto, es un elemento crucial para dimensionar el presupuesto destinado a la prevención y recuperación ante desastres.
• Establecer los tiempos de recuperación objetivo para cada parte del negocio y servicio.
Una vez con esto en mente, es hora de trabajar el documento que recoge las principales pautas del DRP, que pueden ser:
• Inventario de plataformas, hardware y software, ordenado según la importancia que tiene para el negocio.
• Los datos del proveedor o proveedores en cuanto a soporte técnico para cada pieza de hardware o aplicación software. Es crucial para ponerse en contacto rápidamente ante un problema.
• Orden de recuperación de cada sistema. Es importante dejar bien claro qué sistemas deben recuperarse en primer lugar, y cuáles pueden esperar. Junto a esta información debe ir una guía paso a paso con instrucciones precisas para efectuar la recuperación de cada sistema.
• Especificación de roles y responsabilidades. Para garantizar un procedimiento organizado y efectivo, es necesario designar responsables dentro y fuera de la organización en caso de trabajar con proveedores.
• Plan de comunicación. Una vez ocurre el desastre, es importante saber comunicar bien a los clientes, proveedores, inversores, socios, colaboradores… lo que está sucediendo, así como poder indicar un plazo máximo de recuperación.
• Documentación adicional. Es bueno incluir toda referencia de interés para la recuperación de los sistemas.
Por último, hay que mencionar que el DRP es un documento en constante evolución. De nada sirve el esfuerzo de diseñar un Plan de Recuperación ante Desastres para tenerlo almacenado. Es necesario que los trabajadores se familiaricen con él, que sepan bien qué papel desempeñan, hay que probarlo y revisarlo continuamente y hacer que sea fácil de actualizar o ampliar. De esta manera nos aseguraremos de que protegemos lo esencial ante cualquier desastre imprevisto, con la mayor eficiencia.