Si pudieras regresar en el tiempo ¿qué harías? ¿evitarías el accidente que ocurrió la semana pasada? ¿harías las cosas de forma diferente?, ¿comprarías el boleto ganador de la lotería?. Todos en algún momento de nuestras vida nos hemos hecho estas preguntas, y muy probablemente responderíamos “sí a todo”, sin embargo siempre habrá algo inesperado, algo que ni en un millón de años pensamos que ocurriría.
Hoy más que nunca nos damos cuenta de lo vulnerables que somos y que de un día para otro, todo puede cambiar radicalmente . Un terremoto puede sorprendernos justo ahora , una inundación , un ataque virtual y por qué no, una pandemia. La emergencia sanitaria por la que estamos pasando en estos momentos, ha causado estragos en todos los sectores no solo del país sino del mundo entero, afectando en su gran mayoría al sector empresarial, imposibilitando la continuidad de sus funciones normales.
Dentro de la gravedad de la situación, hay una luz al final del túnel: el Plan de Recuperación de Desastres (DRP). Este es un conjunto de estrategias procedimientos planificados y acciones que se toman para que los efectos de un desastre se reduzcan al mínimo y la empresa sea capaz de mantener o reanudar rápidamente las funciones de misión crítica.
Teniendo en cuenta que cada empresa es diferente, las características de un DRP pueden y deben variar en función de las necesidades de cada una, para diseñarlo se deben tomar en cuenta factores cómo: tipo de negocio, los procesos que se involucran y el nivel de seguridad requerido.
Aunque es cierto que las empresas llegan a invertir hasta un 25% de su presupuesto en el Plan de Recuperación de Desastres, la mayoría no están preparadas para uno, tomando en cuenta lo ocurrido el 9/11 sólo el 50% de las empresas informan tener un Plan de Recuperación de Desastres. De aquellos que sí lo tienen, casi la mitad nunca han puesto a prueba su plan, lo que equivale a no tener ninguno”.
Ahora ¿cómo funciona un DRP? como se ha mencionado anteriormente, un DRP está en función de las necesidades de la empresa, lo que se refleja inicialmente en el tiempo de recuperación (RTO) y el punto de recuperación (RPO). Veámos el siguiente diagrama:
¿Qué es RTO y RPO?
Cuando hablamos de Recovery Point Objective (RPO) nos referimos al intervalo de tiempo que puede pasar durante una interrupción , antes de que la cantidad de datos perdidos durante ese periodo exceda el umbral máximo permitido, en otras palabras , es el tiempo máximo aceptable durante el cual podemos perder datos.
Por otro lado Recovery Time Objective (RTO) es el tiempo que una empresa necesita para recuperar sus procesos después de presentarse una inactividad producida por un incidente o desastre, es decir, la cantidad de datos que se pierden y se tienen que volver a ingresar durante el período de inactividad de la red.
En resumen, RTO indica la rapidez con la que necesita recuperarse de un tiempo de inactividad , mientras que el RPO define la frecuencia con la que se necesitan hacer las copias de seguridad.
Para que un plan DRP logre ser efectivo debe:
Enfocarse en recuperar la operación, no solo los elementos técnicos y tecnológicos que soportan la operación. Imagínese un servidor de contabilidad, recuperado en una contingencia en tiempo record, al que no pueden entrar los usuarios para hacer su trabajo. Algo así es tan inútil como no tener el servidor.
El plan de recuperación de desastres (DRP) es parte del plan de continuidad (Business Continuity Plan) , este último describe cómo una organización puede mantener las operaciones durante una emergencia , busca amortiguar en lo posible este riesgo por medio de un plan global que le permite la pronta recuperación de la operaciónn y la información, para ello es necesario que las empresas desarrollen un Business Impact Analysis (BIA) , el cual se utiliza para identificar los riesgos y los puntos críticos a desarrollar.
El BCP debe mantenerse actualizado, tomar en cuenta las tecnologías emergentes y en crecimiento, (como la nube y la virtualización) así mismo considerar cuáles son las posibles nuevas amenazas o ataques cibernéticos, tratando de ser lo más preciso posible, lo que se puede lograr a través de pruebas y un mantenimiento regular; claro que existe ayuda disponible para guiar a las empresas por medio de herramientas y software completos.
