En términos corporativos y específico en tecnología de la información, un desastre es una interrupción abrupta o falla de toda la plataforma de TI o buena parte de está, afectando las actividades comerciales y provocando con ello una caída en las operaciones y los ingresos.
Para minimizar las pérdidas y los impactos de estos incidentes no planificados, es muy importante que el equipo de TI esté capacitado en prácticas de recuperación ante desastres (Disaster Recovery o DR) y las materialice a través de un plan de recuperación para cada subsistema y área funcional dentro de una empresa.
Los planes y prácticas de recuperación ante desastres deben evaluarse y mejorarse con base en simulacros de recuperación y procesos de captura de retroalimentación, en manos de un comité delegado para tales efectos.
Aproximemos 5 prácticas de recuperación ante desastres para mitigar fallas y evitar vulnerabilidades.
El plan de recuperación ante desastres:
Un plan de recuperación ante desastres (DR) consiste en un documento formal creado por la organización de TI que reúne instrucciones detalladas sobre cómo responder a incidentes no planificados, entre ellos: ciberataques, apagones, cortes de conectividad, eventos naturales y otros siniestros de orden disruptivo.
El plan consolida y presenta detalladamente las estrategias a fin de minimizar el impacto de un desastre para la corporación o un área en específico.
Un plan de DR efectivo y bien aplicado posibilita que la organización continúe operando o reanude rápidamente las operaciones clave.
De acuerdo con Cisco, un plan de recuperación ante desastres debe:
Identificar y clasificar las amenazas y los eventos que pueden llevar a desastres, determinando su criticidad.
Definir los recursos y procesos que minimicen su impacto y aseguren la continuidad de las operaciones durante el desastre.
Diseñar mecanismos de reconstrucción para que las operaciones retornen a la normalidad con la mínima irrupción.
Este plan de recuperación ante desastres incluye todos los mecanismos pormenorizados de recuperación y un comité o comisión a los efectos formalizada tendrá la responsabilidad de ensayar, ejecutar y mejorar el plan.
Los Comités de Recuperación ante Desastres
Los Disaster Recovery Committee (DRC) son otras de las prácticas o tácticas de la DR. Están integrados por personal clave delegado de cada una de las áreas que pueda resultar impactadas y que tengan un papel activo en los procedimientos de recuperación acorde al plan.
Un DRC típico está coordinado por personal de TI y cuenta con representación de áreas como finanzas, operaciones, seguridad, recursos humanos, suministros y gestión de proveedores, entre otros.
Es el DRC el que se encarga de diseñar el plan, implementarlo, mejorarlo y actualizarlo. Los miembros de un comité de recuperación ante desastres se activan además ante la detección de un riesgo, miden su criticidad, alcance y diseñan los mecanismos de mitigación.
Monitorean la situación y ante cualquier eventual desastre, se activan, despliegan el plan y regresan a las operaciones con la normalidad debida en el menor tiempo posible.
Atendiendo a las mejores prácticas, los roles, responsabilidades y jerarquía de los diferentes miembros del comité deben ser claramente definidos tanto en operaciones normales como en caso de una emergencia por desastre. Suplentes o personal de respaldo también deben ser designados ante la ausencia de un miembro principal.
Las copias de seguridad y las BaaS
Las copias de seguridad son el elemento más básico en las prácticas de recuperación ante desastres, hoy insuficientes por sí solas.
En un principio consistían en respaldar las bases y centros de datos críticos en unidades extraíbles o servidores paralelos, pero hoy en día han evolucionado a la práctica de copias de seguridad basadas en dispositivos definidos por software.
Se basan en almacenamiento en la nube y redundancia geográfica proveyendo copias de seguridad automáticas que facilitan una restauración de datos en la nube, independientemente del evento, sea un ataque malicioso o un evento natural.
Fortinet hace referencia al término BaaS, o Backup-as-a-Service para referirse a la oferta de un proveedor externo quien tiene la tarea de realizar una copia de seguridad de ciertos datos y bases críticas de la organización a petición del área de TI, el comité de DR o la evaluación cogestionada.
Protección de datos secundaria
Un paso adelante a las simples copias de seguridad de centros de datos y aplicaciones críticas, la protección de datos secundaria se centra en prácticas de recuperación automatizadas en la nube para optimización de data.
Hace menos de una década las copias de datos críticos podrían considerarse un riesgo, ahora se consideran una práctica de valor siempre que se resguarden en sitios seguros.
El mantenimiento de copias de seguridad y réplicas en la nube brindan la seguridad de que los datos están resguardados en una posición remota ante un colapso en la sede corporativa, en caso de que necesite acceder a ellos o restaurarlos.
La protección de datos secundaria o Secondary Data Protection brinda el añadido de poder tomar estos datos secundarios y usarlos en desarrollos por objetivos, ambientes de prueba y simulacros.
Recuperación de Desastres como Servicio (DRaaS)
La evolución integral en prácticas de protección de datos secundaria está representada por el DRaaS. De acuerdo con IBM se trata una práctica de recuperación ante desastres popularizada desde el 2010 con el advenimiento de las soluciones integrales en la nube.
La práctica del Disaster Recovery as a Services o DRaaS se basa en la subcontratación, utiliza los recursos de la nube de un proveedor como respaldo de todos los procesos críticos para evitar las interrupciones comerciales causadas por un desastre.
Dos puntos se deben tener muy en cuenta ante la contratación de un servicio DRaaS: El punto de recuperación objetivo y el tiempo de recuperación.
El Punto de recuperación objetivo o RPO limitará la cantidad máxima permitida de datos perdidos, ello en función del tiempo transcurrido entre la falla y el último punto de restauración.
Mientras que el tiempo de recuperación (RT o RTO) representará el tiempo desde el incidente hasta la recuperación de las operaciones normales.
DRaaS ofrece beneficios más allá de la ventaja de proteger sus procesos críticos del negocio ante un desastre.
Su naturaleza basada en la nube garantiza una protección de datos secundarios permanente y una disponibilidad instantánea, por lo que en caso de que un sitio físico colapse temporalmente, no habrá mayores tiempos de espera para acceder a la información de la nube.
Una oferta DRaaS integral da acceso ágil a un plan que cubra todos sus activos comerciales y limita fallas y vulnerabilidades.
Luce como una acción mucho más asequible que por ejemplo alquilar espacios para servidores físicos de respaldo, algo que ocupa inversión y gastos por la energía, enfriamiento, personal y seguridad.
Para finalizar
Esperamos haber presentado un panorama simple y resumido de las mejores prácticas de recuperación ante desastres.
A la hora de proteger su empresa ante desastres, independientemente de la práctica DR que elija, simplemente actúe.
Elevados tiempos de inactividad pueden provocar pérdida de mercado y de competitividad irrecuperables.
¿Posee su empresa y sus socios de canal planes de DR actualizados? ¿Cuenta con un DRC activo y comprometido? Explore la oferta BaaS y DRaaS y recuerde el adagio “espere lo mejor pero esté preparado para lo peor”.
Tenga en cuenta que un socio de DRaaS experto puede asesorar sobre las mejores prácticas para sus circunstancias específicas y únicas encontrando un justo equilibrio entre las necesidades comerciales de disponibilidad y las inversiones necesarias en TI.
