Plan de Recuperación de Desastres y Continuidad del Negocio

De -

Un amigo me pidió que le explicara qué es y cómo se implementa un DRP, así que comparto esta información que, si bien es muy básica, puede ayudar a quien tenga dudas a este nivel.


Un DRP es un Plan de recuperación de desastres (Disaster Recovery Plan). Para hacer un DRP debería considerarse lo siguiente:

  • Identificar los escenarios de riesgo que quieren abarcar, eso puede ser distinto a cada organización, desde eventos disruptivos de carácter externo como huelgas, epidemias, sismo, inundación, etcétera, hasta otros de carácter interno como pérdidas de información, renuncias o faltas del personal, accidentes y otros.

  • cid:image002.png@01D1E2A0.6E7214F0
  • Una vez identificados los riesgos, hay que determinar los elementos operativos, las actividades de negocio y de soporte que son críticos para la organización, y que se va a buscar recuperar en el escenario de desastre. El DRP no siempre abarca todas las actividades de la empresa sino a las más críticas y las que tienen mayor impacto en el negocio.
  • Ya que se identificaron, hay que hacer un análisis de impacto al negocio (BIA - Business Impact Analysis), que consiste en identificar y medir los impactos por la pérdida de cada una de las actividades críticas del punto anterior, así como sus relaciones, los tiempos máximos aceptables para recuperarse y los puntos de recuperación objetivo necesarios, además del personal y los recursos para operaciones degradadas tanto para la operación en casos de contingencia como para la vuelta a la normalidad.
cid:image004.png@01D1E2A0.6E7214F0
  • Por último se diseña el DRP, que es un plan con todas las acciones que se deben llevar a cabo para recuperar parcial y totalmente la operación, después del evento disruptivo. Estas actividades tienen que ver con:
    • Capacitación cruzada al personal (que nadie sea el único que sabe cómo hacer las cosas)
    • Reporte, comunicación y escalación interna en caso de crisis
    • Toma de decisiones y autorizaciones
    • Comunicación con autoridades y cuerpos de emergencia
    • Información a medios públicos
    • Estrategias de continuidad
      • Redundancias de servicios (energía eléctrica, internet, comunicaciones telefónicas, etc)
      • Reservas de suministros (agua, alimentos, combustible, etc)
      • Capacitación de personal
      • Documentación de actividades, políticas y procedimientos
      • Monitoreo de operaciones
      • Redundancia de infraestructura y sistemas (virtualización, mirror, etc)
      • Arreglos de almacenamiento redundantes (RAID)
      • Equipo de contención y respuesta ante incendios, inundaciones, generación de energía
      • Fuentes de poder ininterrumpida (UPS)
    • Estrategias de recuperación
      • Uso de respaldos de información
      • Sitio alterno de operación
      • Medios para transporte de personal
      • Equipo y servicios en sitios alternos
      • Infraestructura alterna, ya sea en modo activo (con datos actualizados y sincronizados) o en modo pasivo (requiere restaurar en ella los respaldos). Por ejemplo, para centros de datos: Hot site– Altamente equipado, Warm site – Faltan componentes clave, Cold site Centro de Datos vacío, Mirror site – Redundancia completa, Mobile site – Tráiler lleno con componentes)
      • Respaldo de documentación y registros fuera de las instalaciones
    • Implementación de estrategias de continuidad y recuperación
    • Operación con medios degradados (como operar manualmente, en papel, sin sistemas de información)
    • Operación fuera de oficinas (puede ser home office) y/o movimiento a sitios alternos
    • Actividades de reanudación y vuelta a la operación normal
  • Ya que se establecieron estas actividades habría que implementarlas identificando los recursos necesarios para cada una de ellas (materiales, humanos, financieros, etcétera), además de roles, responsabilidades y fechas compromiso de implementación
  • Establecer indicadores de la efectividad de estas actividades y sus objetivos
  • Establecer un plan de pruebas y simulacros para los escenarios planteados
  • Llevar a cabo las pruebas y escenarios
  • Ajustar lo que sea necesario

Obviamente para cada uno de estos puntos podríamos profundizar mucho más, ya que la selección de metodologías y tecnologías en particular depende de la organización, de su contexto y sus recursos, pero esta es la base para entender qué es y para qué sirve un DRP.

 Si les interesa conocer más acerca de estos temas existe mucho material publicado al respecto, a continuación listo algunas fuentes:




Comentarios

Publicar un comentario

Entradas populares de este blog

Investigación Forense con Autopsy

De -
Imagen
Investigación Forense con Autopsy (WINDOWS) Autopsy es una herramienta de análisis forense digital de código abierto utilizada principalmente por investigadores, analistas de seguridad y profesionales de la informática forense para examinar y recuperar datos de dispositivos de almacenamiento, como discos duros, unidades flash y otros medios digitales. Desarrollada originalmente por el Departamento de Defensa de los Estados Unidos, Autopsy ofrece una interfaz gráfica amigable que facilita la realización de investigaciones forenses. Las funciones principales de Autopsy son: Análisis de imágenes de disco: permite la creación y el análisis de imágenes de disco completas, lo que permite examinar el contenido de un disco duro o cualquier otro medio de almacenamiento de manera detallada. Recuperación de archivos eliminados: Autopsy puede recuperar archivos que han sido borrados, brindando la posibilidad de analizar información que se creía perdida. Análisis de actividades recientes: facilita ...
Leer más

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

De -
Imagen
Ante la nueva Ley de Telecomunicaciones y Radiodifusión  y la implantación de la CURP biométrica, más allá de la discusión (muy necesaria, pero fuera del ámbito de este artículo) sobre si estas leyes son adecuadas, es necesario asumir que ya son un hecho y que si bien abren la puerta a un sistema de identidad y conectividad sin precedentes en México, también levantan preocupaciones sobre la vigilancia masiva, la exposición de los datos más personales y varios otros riesgos que es relevante atender. Esto plantea un dilema democrático: ¿puede el Estado saber dónde estoy cada minuto sin romper la presunción de inocencia? Definitivamente la privacidad es una preocupación que todos debemos tener desde las actividades que hacemos diariamente, desde la información que publicamos en redes sociales estamos dando a conocer datos de nosotros mismos y que son utilizados para perfilamiento sobre nuestros gustos, preferencias y costumbres, que pueden ser utilizados tanto para fines legítimos, de...
Leer más

¿Cómo saber si mi certificación ISO 27001 es legítima?

De -
Imagen
Ante el crecimiento en la popularidad y adopción de ISO/IEC 27001 como el estándar de facto en materia de seguridad de la información, en ocasiones existen dudas sobre cómo validar la legitimidad y vigencia de un certificado. Antes que nada vale la pena hacer una pequeña aclaración. Si bien en el mercado se le llana ISO 27000 o a veces ISO 27001, hay que señalar que la forma correcta es ISO/IEC 27001 y su nombre es “Sistema de Gestión de Seguridad de la Información – Requisitos” y su versión vigente es la 2013. La norma ISO 27000, propiamente ISO/IEC 27000, es la referente al vocabulario y en muchas ocasiones nos referimos a toda la familia de normas como 27000, considerando que además de las dos ya mencionadas existen muchas más con lineamientos, guías de implementación, métricas, aplicaciones sectoriales, lineamientos de auditoría, competencia del personal, etc, que forman parte de esta amplia familia. Por otro lado, el prefijo ISO/IEC se refiere a que hay dos organism...
Leer más