¿Están las empresas listas para sobrevivir un desastre? De acuerdo con un estudio de Global Disaster Recovery Index 2012 publicado por Acronis, el 52% de los seis mil funcionarios de Tecnologías de la Información (TI) encuestados reportaron fallas por errores humanos, actualizaciones problemáticas y virus; el 4% mencionó que los desastres naturales causaron interrupciones de servicio, mientras el 38% se debió a incidentes en las instalaciones de los servidores (problemas eléctricos, fuegos y explosiones).
“La interrupción del servicio o la pérdida de información tiene un impacto crítico en las finanzas de una corporación y, por lo tanto, el Disaster Recovery Plan (Plan de Recuperación ante Desastres o DRP, por sus siglas en inglés) se vuelve cada vez más relevante”, dijo Fernando Mollón, vicepresidente de VMware Latinoamérica.
De acuerdo con el directivo, cada plan debe ser personalizado según las necesidades de las organizaciones, y debe contemplar factores tales como el tipo de negocio o actividad, el nivel de seguridad necesario para los datos y aplicaciones, ubicación, entre otros elementos. Asimismo, se puede desarrollar internamente o adquirir de un proveedor como Software-as-a-Service (SaaS) o Recovery-as-a-Service (RaaS).
Fernando Mollón recomendó seis elementos esenciales para un plan sólido de recuperación ante desastres:
1. Definición del plan. La gerencia debe involucrarse ya que ellos son los responsables de su coordinación y deben proveer los recursos necesarios para un desarrollo efectivo del plan. Todos los departamentos de la organización participan en la definición del plan.
2. Establecimiento de prioridades. La compañía debe preparar un análisis de riesgo y crear una lista de posibles desastres naturales o causados por errores humanos, y clasificarlos según sus probabilidades. Luego, cada departamento debe analizar las posibles consecuencias y el impacto relacionado con cada tipo de desastre. Un plan completo debe considerar una pérdida total del centro de datos y eventos de larga duración de más de una semana.
Una vez definidas las necesidades de cada departamento, se les asigna una prioridad. Los procesos y operaciones son analizados para determinar la máxima cantidad de tiempo que la organización puede sobrevivir sin ellos. Se establece un orden de recuperación según el grado de importancia. Esto se define como el Recovery Time Objective, Tiempo de Recuperación o RTO. Otro término importante es el Recovery Point Objective, Punto de Recuperación o RPO.
3. Selección de estrategias de recuperación. Se determina las alternativas más prácticas para proceder en caso de un desastre. Todos los aspectos de la organización son analizados, incluyendo hardware, software, comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar varían según la función del equipo y pueden incluir duplicación de centros de datos, alquiler de equipos e instalaciones, contratos de almacenamiento y muchas más. Igualmente, se analiza los costos asociados.
4. Componentes esenciales. Se deben proteger listas, inventarios, copias de seguridad de software y datos, así como cualquier otra lista importante de materiales y documentación. La creación previa de plantillas de verificación ayuda a simplificar este proceso.
Un resumen del plan debe ser respaldado por la gerencia. Este documento organiza los procedimientos, identifica las etapas importantes, elimina redundancias y define el plan de trabajo. El plan asigna responsabilidad a diferentes equipos / departamentos y alternos.
5. Criterios y procedimientos de prueba del plan. La experiencia indica que los planes de recuperación deben ser probados en su totalidad por lo menos una vez al año. Las razones principales son: verificar la validez y funcionalidad del plan, determinar la compatibilidad de los procedimientos e instalaciones, identificar áreas que necesiten cambios, entrenar a los empleados y demostrar la habilidad de la organización de recuperarse de un desastre.
6. Aprobación final. Después de que el plan haya sido puesto a prueba y corregido, la gerencia deberá aprobarlo. Ellos son los encargados de establecer las pólizas, los procedimientos y responsabilidades en caso de contingencia, y de actualizar y dar el visto al plan anualmente. A la vez, sería recomendable evaluar los planes de contingencia de proveedores externos.
-CIO México
