Plan de Recuperación de Desastres y Continuidad del Negocio

Un amigo me pidió que le explicara qué es y cómo se implementa un DRP, así que comparto esta información que, si bien es muy básica, puede ayudar a quien tenga dudas a este nivel.


Un DRP es un Plan de recuperación de desastres (Disaster Recovery Plan). Para hacer un DRP debería considerarse lo siguiente:

  • Identificar los escenarios de riesgo que quieren abarcar, eso puede ser distinto a cada organización, desde eventos disruptivos de carácter externo como huelgas, epidemias, sismo, inundación, etcétera, hasta otros de carácter interno como pérdidas de información, renuncias o faltas del personal, accidentes y otros.

  • cid:image002.png@01D1E2A0.6E7214F0
  • Una vez identificados los riesgos, hay que determinar los elementos operativos, las actividades de negocio y de soporte que son críticos para la organización, y que se va a buscar recuperar en el escenario de desastre. El DRP no siempre abarca todas las actividades de la empresa sino a las más críticas y las que tienen mayor impacto en el negocio.
  • Ya que se identificaron, hay que hacer un análisis de impacto al negocio (BIA - Business Impact Analysis), que consiste en identificar y medir los impactos por la pérdida de cada una de las actividades críticas del punto anterior, así como sus relaciones, los tiempos máximos aceptables para recuperarse y los puntos de recuperación objetivo necesarios, además del personal y los recursos para operaciones degradadas tanto para la operación en casos de contingencia como para la vuelta a la normalidad.
cid:image004.png@01D1E2A0.6E7214F0
  • Por último se diseña el DRP, que es un plan con todas las acciones que se deben llevar a cabo para recuperar parcial y totalmente la operación, después del evento disruptivo. Estas actividades tienen que ver con:
    • Capacitación cruzada al personal (que nadie sea el único que sabe cómo hacer las cosas)
    • Reporte, comunicación y escalación interna en caso de crisis
    • Toma de decisiones y autorizaciones
    • Comunicación con autoridades y cuerpos de emergencia
    • Información a medios públicos
    • Estrategias de continuidad
      • Redundancias de servicios (energía eléctrica, internet, comunicaciones telefónicas, etc)
      • Reservas de suministros (agua, alimentos, combustible, etc)
      • Capacitación de personal
      • Documentación de actividades, políticas y procedimientos
      • Monitoreo de operaciones
      • Redundancia de infraestructura y sistemas (virtualización, mirror, etc)
      • Arreglos de almacenamiento redundantes (RAID)
      • Equipo de contención y respuesta ante incendios, inundaciones, generación de energía
      • Fuentes de poder ininterrumpida (UPS)
    • Estrategias de recuperación
      • Uso de respaldos de información
      • Sitio alterno de operación
      • Medios para transporte de personal
      • Equipo y servicios en sitios alternos
      • Infraestructura alterna, ya sea en modo activo (con datos actualizados y sincronizados) o en modo pasivo (requiere restaurar en ella los respaldos). Por ejemplo, para centros de datos: Hot site– Altamente equipado, Warm site – Faltan componentes clave, Cold site Centro de Datos vacío, Mirror site – Redundancia completa, Mobile site – Tráiler lleno con componentes)
      • Respaldo de documentación y registros fuera de las instalaciones
    • Implementación de estrategias de continuidad y recuperación
    • Operación con medios degradados (como operar manualmente, en papel, sin sistemas de información)
    • Operación fuera de oficinas (puede ser home office) y/o movimiento a sitios alternos
    • Actividades de reanudación y vuelta a la operación normal
  • Ya que se establecieron estas actividades habría que implementarlas identificando los recursos necesarios para cada una de ellas (materiales, humanos, financieros, etcétera), además de roles, responsabilidades y fechas compromiso de implementación
  • Establecer indicadores de la efectividad de estas actividades y sus objetivos
  • Establecer un plan de pruebas y simulacros para los escenarios planteados
  • Llevar a cabo las pruebas y escenarios
  • Ajustar lo que sea necesario

Obviamente para cada uno de estos puntos podríamos profundizar mucho más, ya que la selección de metodologías y tecnologías en particular depende de la organización, de su contexto y sus recursos, pero esta es la base para entender qué es y para qué sirve un DRP.

Si les interesa conocer más acerca de estos temas existe mucho material publicado al respecto, a continuación listo algunas fuentes:




Comentarios

Entradas populares de este blog

Investigación Forense con Autopsy

Preocupaciones y propuestas sobre los cambios en la ley Telecom y la CURP biométrica

¿Cómo saber si mi certificación ISO 27001 es legítima?