Por que tener un DRP

¿Por qué tener un DRP?

Considero que la mayoría de nosotros en el medio de Continuidad de Negocio, en algún momento hemos escuchado de casos de empresas que no han podido recuperarse después de una interrupción en la operación. Las empresas con la suficiente madurez operativa saben que requieren continuar su operación con el mínimo de interrupción, ya que esto, se traslada a pérdidas económicas inimaginables, sin embargo, la mayoría no están preparadas para los Escenarios de Contingencia que puedan ocurrir en el tiempo.

Pero a pesar de esto ¿Cuál es la causa por el cual, las empresas no consideran crítico un DRP (Plan de Recuperación de Desastres)? En parte, creo, porque los desastres naturales se consideran un riesgo remoto, incluso si parecen ocurrir con mayor frecuencia. Sin embargo, tampoco se está considerando las violaciones de seguridad por ransomware, fallas de hardware o software y hasta un error humano que sin duda pueden acabar con la perdida de datos de una empresa.

El no contar con áreas específicas que coordinen el relacionamiento entre el negocio y la operación tecnológica, da un resultado negativo para el funcionamiento adecuado de un BCP, ya que, si bien el BCP comprende toda la información de recuperación empresarial, este se complementa con el servicio tecnológico que levanta dicha operación de negocio.

Un Plan de Recuperación de Desastres, DRP, por sus siglas en inglés, Disaster Recovery Planning, se entiende como las acciones o prácticas efectivas de medidas de seguridad, que garantizan una adecuada recuperación de la operatividad mínima de los sistemas luego de una contingencia o desastre, en la que se vean afectados los procesos y recursos informáticos que soportan un negocio

Las razones para que las empresas contraten un sistema de DRP son muy simples pues la disponibilidad de sus recursos críticos, son un asunto que no se debe tomar a la ligera ni como un segundo plan de acción, al igual que el cumplimiento con las Normas de Continuidad de Negocio, pues una vez que la empresa pasa por un escenario caótico de contingencia la probabilidad de recuperación es casi nula, a menos que se cuente con la infraestructura suficiente y los recursos críticos de negocio adecuados para una recuperación.

Según las cifras que publicó la compañía de seguros Nationwide, el 75 por ciento de los propietarios de negocios informaron tener almacenamiento fuera del sitio para al menos algunos registros comerciales vitales. Sin embargo, el 68 por ciento no tiene un plan de Recuperación ante Desastre por escrito, a pesar de que el 49 por ciento dijo que tomaría tres meses recuperarse de un desastre natural, demasiado tiempo para que una empresa mediana o pequeña pueda sobrevivir.

Dentro de las razones para tener un DRP se encuentran las siguientes:

  • Garantizar la continuidad de la operación durante una contingencia
  • Proteger al negocio de fallas generales en los servicios informáticos.
  • Minimizar la toma de decisiones erróneas al presentarse algún desastre.
  • Demostrar seguridad a los clientes, proveedores y para las solicitudes de licitación.
  • Minimizar los tiempos muertos durante los incidentes y mejorar el tiempo de recuperación.
  • Cumplimiento de Normas con sus diferentes dependencias regulatorias.

Hay distintas formas de abordar el plan de recuperación, es importante considerar que hoy en día existen modelos o referencias de mejores prácticas para asegurar que el Plan de Continuidad se gestione y ejecute de la mejor manera.

Para la gestión de continuidad de negocio existe la norma ISO 22301 la cual reúne todos los requisitos para llevar a cabo la correcta y adecuada implementación, con el fin de minimizar los impactos que pueden traer la materialización de un riesgo afectando de manera directa a la organización.

Este estándar internacional está basado en la norma británica BS 25999, la cual fue sustituida en  mayo del 2012 por la ISO 22301. En la actualidad tiene 109 requisitos los cuales marcan las pautas de cómo se debe llevar a cabo la implementación del Sistema de Seguridad de la Información (SGCN).

Es importante  tener en cuenta que la Norma ISO 22301 otorga certificación permitiendo que la entidad pueda demostrarle a sus clientes, empleados y proveedores que están blindados frente a temas relacionados con la continuidad de negocio.

Lo que permite:

  • Implementar un sistema de Continuidad de Negocio.
  • Identificar riesgos a los que puede estar expuesta la organización y de qué manera pueden afectar la continuidad de la empresa.
  • Tener una relación acorde con la política de continuidad de negocio de la empresa.
  • Generar conformidad con lo que se está llevando a cabo.
  • Esta norma es certificable.
  • Asegura una alta capacidad de recuperación
  • Hacer la auditoria de conformidad de la ISO 22301

Independientemente del enfoque que se adopte para planificar el DRP, es importante asegurarse de no descuidarlo al momento de hacerlo. La ejecución de pruebas es un punto importante para el mantenimiento y buen funcionamiento de un DRP, según la Administración Federal de Manejo de Emergencias, una de cada cuatro empresas nunca vuelve a abrir después de un desastre , pero a las que están preparadas para lo peor inevitablemente salen victoriosos.

La Continuidad de Negocio y la Resiliencia van de la mano y juegan un papel en el plan de recuperación ante desastres de una organización. Esencialmente, se necesita la Continuidad del Negocio para lograr Resilencia.

Pero… ¿Qué es una empresa resiliente?, pongamos un ejemplo simple; una Empresa Resiliente es aquella que atraviesa por un escenario de contingencia y en un cierto periodo de tiempo ya estipulado en su plan de Continuidad de Negocio puede volver a su estado normal y continuar con sus operaciones sin presentar perdidas importantes dentro de la operación.

Una organización que está preparada para responder tiene métodos para reducir los incidentes. Mantiene las operaciones al día y responde mejor ante situaciones de crisis utilizando una serie de técnicas:

  • Gestión de la Continuidad del Negocio
  • Recuperación ante desastres tecnológicos
  • Respuesta a incidentes y gestión
  • Gestión de emergencias
  • Análisis de Impacto del Negocio
  • Gestión de riesgos
  • Prueba y ejercicio
  • Comunicaciones de emergencia

Una organización debe ser capaz de reanudar operaciones después de una contingencia, siendo resiliente, a través de un plan de continuidad de negocio que proporciona todos los procedimientos para devolver procesos críticos, a un estado donde la organización siga operando sin ningún problema, minimizando las posibilidades de algún incidente y en caso de que exista, tener los recursos, cultura y compromiso para mitigar el evento.

En la actualidad si bien se conoce un BCP y DRP , son pocas las compañías que tienen implementadas estrategias eficaces y acordes con la realidad tecnológica actual.

Por tal motivo, las soluciones de recuperación como servicio ante desastres, servicios como DRP in a Box requieren de mayor atención, los cuales ofrecen costos fijos y operación en manos de expertos.

Es tiempo de ejecutar un plan de recuperación de desastres acorde con la operación de cada negocio.

Dejar un comentario

Tu dirección de correo electrónico no será publicada.