Icon Registrate
Regístrate
Icon Perfil
Iniciar Sesión
Boton VolverVolver
banner principal
banner carrusel
Ciberseguridad
  • Compartir

Disaster recovery: buenas prácticas para implementarlo

Disaster recovery: buenas prácticas para implementarlo

Un buen plan de recuperación de desastres informáticos (disaster recovery) puede ayudar a tu empresa a evitar la pérdida de mucho dinero y tiempo. De hecho es una preocupación cada vez mayor para negocios de todo tipo y rubro debido a la rápida y permanente aparición de nuevas amenazas y modalidades de ciberataques que generan enormes pérdidas. Sin ir más lejos, en 2023 el costo promedio para las empresas de las vulneraciones de datos alcanzó los 4,5 millones de dólares según el reporte anual de IBM, esto es, un 15% más que en 2020.

Frente a ello, la adopción de planes de un plan de recuperación de desastres (disaster recovery plan, DRP) es una solución cuya adopción está aumentando velozmente a nivel global. Por ejemplo, el 60% de las corporaciones del Reino Unido han optado por delegar sus operaciones de ciberseguridad a servicios basados en la nube, motivados principalmente por el acceso a un servicio especializado y experto, una amplia variedad de fuentes y recursos y una “inquebrantable adherencia a los estándares de seguridad”.

¿Cómo proteger tus dispositivos y datos? Descúbrelo en esta infografía.

Descárgala aquí

Por el contrario, no contar con este tipo de solución implica una importante vulnerabilidad. Las empresas que no han diseñado un plan de disaster recovery solo pueden recuperar un 18% de sus datos en el caso de sufrir una catástrofe.

Ahora bien, junto con la adopción de la solución es necesario optimizar su uso con buenas prácticas, para reducir al máximo el tiempo de inactividad y las eventuales pérdidas de datos y económicas y así afectar lo menos posible la continuidad de las operaciones.

En este artículo detallaremos las principales buenas prácticas para un plan de recuperación de desastres informáticos.

Buenas prácticas de disaster recovery

El ciclo de vida de la recuperación de desastres incluye las etapas de elaboración, activación y ejecución del plan, para una posterior reconstitución de los sistemas. Ciertamente, lo ideal es que en tu empresa solo tengas que llegar hasta el punto de la elaboración del plan, pero ya habiendo avanzado en la primera etapa  podrás estar preparado para enfrentar y gestionar cualquier situación imprevista.

Veamos las principales buenas prácticas de disaster recovery por cada una de sus etapas:

1.Buenas prácticas en la planificación del disaster recovery

disaster recovery buenas practicas plan

La etapa de planificación del disaster recovery consiste en el diseño de todo el flujo de procesos y de asignación de recursos que vas a tener que colocar en acción en el caso de sufrir un desastre. Para diseñar este plan, te recomendamos hacer lo siguiente:

a)     Identifica y analiza los riesgos de desastres

Realiza un análisis de riesgos, también conocido como análisis de impacto empresarial. Este consiste, primero, en identificar cuáles son los procesos y las áreas más críticas para tu negocio. Es decir aquellas que si sufrieran alguna interrupción afectaría a toda la operatividad de la empresa.

De cada área crítica tienes que definir cuáles son los potenciales riesgos que la pueden afectar. Por ejemplo, uno de los elementos más importantes en una empresa tecnológica es la conectividad y la transferencia de datos en sus data centers. En este punto, una buena práctica de disaster recovery es preguntarse entonces ¿qué riesgos puede amenazar la integridad de dicha conectividad y transferencia de datos?

b)     Clasifica los riesgos basándote en pesos relativos

Una vez identificados los riesgos, debes proceder a clasificarlos según sus características para así poder ordenarlos posteriormente según distintos niveles de prioridad. Las categorías de riesgos más utilizadas para dicha clasificación son las siguientes:

  • Riesgos externos: son los que no están relacionados con fallas internas dentro de la empresa, y pueden ser riesgos de tipo: natural (inundaciones, terremotos, etc.), causados por el hombre (ciberataques, sabotajes, etc.), civiles (huelgas, inestabilidad social, etc.), y riesgos con los proveedores (casos en que sean los proveedores los que sufran un desastre).
  • Riesgos de las instalaciones: son los que pueden tener un impacto directo en las instalaciones propiamente. Por ejemplo, riesgos asociados con cortes energéticos, fallas en la telefonía, cortes en el suministro de agua, problemas en los sistemas de climatización, riesgos de incendios, problemas estructurales y brechas de seguridad física, entre otros.
  • Riesgos de los sistemas de datos: asociados con la red de comunicación de datos, redes de telecomunicaciones, servidores compartidos, brechas de seguridad digital, propagación de virus, errores de software y problemas en los sistemas de almacenamiento de gestión de datos.
  • Riesgos departamentales: son los que pudiesen afectar a cada departamento de forma específica. Esto sirve para diseñar y establecer buenas prácticas de disaster recovery personalizadas a cada departamento según su nivel de relevancia para la empresa y según sus potenciales riesgos internos.
  • Riesgos a nivel de escritorio: estos son los que tienen la capacidad de afectar el trabajo individual del personal. Pregúntate qué podría impedirle a tu personal trabajar de forma continua y normal.

c)      Construye la evaluación de riesgos

Con base en toda esa identificación y clasificación de potenciales riesgos en tu empresa, la siguiente buena práctica de disaster recovery es diseñar una tabla de puntuación que te permita establecer y visualizar la prioridad de cada riesgo.

En esta tabla debes colocar cada categoría de riesgo que vimos en el punto anterior y definir cuáles son los potenciales riesgos reales que pudiese sufrir tu empresa. A cada hay que asignarle una puntuación (de 0 a 10) en cuanto a los siguientes criterios de evaluación:

  • Probabilidad de que ocurran (¿qué tan probable es que te ocurra X riesgo?)
  • Impacto en la continuidad operativa (¿qué tanto puede afectar X riesgo a tu negocio?)
  • Tiempo de restauración (¿cuánto tiempo te puede tomar superar X riesgo?)

Para obtener una puntuación final del análisis de los riesgos, debes multiplicar entre sí los valores que asignaste en Probabilidad, Impacto y Tiempo de restauración.

Por ejemplo:

d)     Determina los efectos de los desastres

Luego, establece cuáles son todas las posibles consecuencias de cada uno de los riesgos, si llegasen a ocurrir. Algo importante a tener en cuenta es que una o varias de esas consecuencias pueden ocasionar a su vez otras, creando así un efecto dominó o una bola de nieve.

Algunas buenas prácticas de disaster recovery para el análisis de efectos o consecuencias son las siguientes:

  • Realiza una lista con todas las áreas que pudiesen ser afectadas por cada potencial desastre (espacios físicos, personal, sistemas de datos, etc.).
  • Analiza el límite de tolerancia del tiempo inactividad de cada una de esas áreas afectadas. Es decir, qué tanto te puedes permitir que determinada área se mantenga inactiva debido a un desastre. Esto te ayudará a identificar cuáles son las áreas que debería tener mayor urgencia de abordaje durante la ejecución del plan de disaster recovery.
  • Determina cuáles áreas afectadas dependen o afectan a otras. Es decir, para recuperar la operatividad de determinada área ¿qué otra área deberías atender primero? Por ejemplo, si quieres recuperar la funcionalidad de tu centro de datos, primero tendrías que solucionar el suministro eléctrico.

e)      Evalúa mecanismos de recuperación de desastres

Estudia cuáles pueden ser uno o varios mecanismos de recuperación que pudieses implementar para cada área y riesgo planteado anteriormente. Lo ideal es que tengas varias opciones sobre la mesa.

Por ejemplo, para recuperar el acceso a tus bases de datos, podrías contar con diferentes proveedores en la nube pública o un centro de datos que funcione en la nube privada pero en una zona geográfica diferente.

Después, para poder elegir cuál de esas alternativas es la que más te conviene, debes evaluarlas todas bajo criterios como los siguientes:

  • Costos asociados
  • Tiempo de recuperación
  • Facilidad de implementación

f)       Establece un comité de recuperación de desastres

Una de las buenas prácticas de disaster recovery más importantes es la creación de un comité de recuperación de desastres. Este debe ser un equipo multidisciplinario encargado de supervisar, coordinar y ejecutar el plan de recuperación de desastres de tu empresa.

Un comité generalmente está compuesto por representantes de las áreas de tecnología de la información, seguridad, operaciones, recursos humanos, gestión de riesgos y asuntos públicos, entre otros.

Las responsabilidades de este equipo incluyen la revisión y actualización periódica del DRP, la identificación de riesgos emergentes, la realización de simulacros y pruebas de recuperación, la coordinación de las acciones durante un desastre real, y la comunicación con todas las partes interesadas involucradas en el proceso de recuperación.

En ese mismo sentido, el comité debe garantizar la asignación adecuada de recursos y la capacitación del personal para asegurar una respuesta efectiva ante cualquier situación de emergencia.

2.    Buenas prácticas en la activación del disaster recovery

disaster recovery buenas practicas DRP

La etapa de activación del disaster recovery se produce cuando se detecta un desastre, momento en el que se estudian y se comunican las características y los efectos causados por dicho suceso. Algo importante que debes tener en cuenta es que el desastre puede ocurrir tanto de forma previsible como imprevista. Por ejemplo, puedes prever una situación de emergencia si sabes que en tu localidad está siendo afectada por un huracán, pero también podría suceder un terremoto de un momento a otro.

Por esto, una buena práctica de disaster recovery es que el comité se mantenga informado 24/7 sobre todas aquellas situaciones tanto internas como externas que pudiesen llegar a convertirse en un desastre.

a)     Establece procedimientos de notificación

Es necesario establecer una estructura de comunicación muy ágil, eficiente y ordenada. De modo que, al suceder una catástrofe, todas las personas claves puedan estar informadas de manera oportuna. La rapidez en la comunicación determinará la rapidez del despliegue de las soluciones y de la recuperación de los sistemas.

Una de las buenas prácticas de disaster recovery relacionado con este punto es el establecimiento de un árbol de llamadas, aunque pudiese ser cualquier otro método que el comité decida.

En el caso del árbol de llamadas se debe establecer cuáles son las personas que deben ser contactadas de forma prioritaria y cuál es el flujo de personas siguientes para contactar. De igual manera, el árbol de llamadas debe incluir números o contactos alternativos a llamar en el caso de que una persona no pueda ser contactada.

En este sentido, el comité debe establecer todos los procedimientos y métodos de comunicación a seguir bajo diferentes posibles contextos y situaciones. También, debe establecer cuál es el tipo de información específica que hay que transmitir durante las comunicaciones, por ejemplo:

  • Características del desastre ocurrido
  • Zona, área o proceso principalmente afectado
  • Daños identificados hasta el momento
  • Estimaciones sobre el desarrollo del suceso en el corto plazo
  • Tiempo en que ocurrió o se detectó el suceso

b)     Evalúa los daños

Inmediatamente, es necesario ejecutar una evaluación de daños, esto permitirá definir cuáles serán los siguientes pasos a seguir. Por eso, lo recomendable es que el equipo de evaluación de daños de tu empresa sea el primero en ser notificado sobre la catástrofe.

Una buena práctica de disaster recovery es diseñar un procedimiento específico y metódico para la evaluación de daños. Es decir, no debes dejar que este proceso se desarrolle de forma improvisada.

Por lo tanto, para dotar de organización a este procedimiento, el Comité tendrá que establecer una metodología que dicte los parámetros a tener en cuenta durante la evaluación, como por ejemplo:

  • Estado de los sistemas más críticos
  • Áreas afectadas y áreas en riesgo de ser afectadas próximamente
  • Tiempo estimado para la restitución de los sistemas

c)      Planifica la activación

Ten en cuenta que iniciar la ejecución de los procedimientos de recuperación de desastres es algo que requerirá la inversión y la participación de muchos recursos críticos de tu empresa. Además, algunas de las acciones preventivas o correctivas contempladas dentro del DRP podrían tener como efecto secundario la paralización de algún proceso crítico del negocio. Por ejemplo, en el caso de una inundación, lo más probable es que una acción a tomar sea cortar el suministro eléctrico.

Sabiendo esto, es necesario preguntarse entonces ¿y si es una falsa alarma? Si el comité pone en ejecución el DRP ante una situación que realmente no lo requiere, tu empresa sufrirá consecuencias y pérdidas importantes.

Por esa razón, una de las buenas prácticas de disaster recovery es planificar todo el procedimiento de validación y verificación que el comité tendrá que llevar a cabo antes de poner en marcha el DRP.

Una vez se verifique la situación el comité debe planificar rápidamente los siguientes pasos a tomar para comenzar con la ejecución del DRP, en el caso de que sea necesario. Dicha planificación debe contemplar, por ejemplo:

  • Priorización de los sistemas a restaurar
  • Secuencias de todas las áreas a abordar
  • Estimación de los tiempos requeridos en cada restauración

3.    Buenas prácticas en la ejecución del disaster recovery

disaster recovery buenas practicas ejemplos

Llegado el momento de la verdad, la etapa de ejecución del disaster recovery consiste en implementar todas las medidas definidas tanto en el plan de activación como en el DRP en general.

a)     Inicio de la secuencia de actividades de recuperación

En este punto, se comienzan a ejecutar las acciones de recuperación de forma secuencial. Es decir, el equipo debe ir restaurando los sistemas desde los más críticos (aquellos que fueron priorizados durante la planificación de la activación) hasta los menos críticos.

Una de las buenas prácticas de disaster recovery es que los equipos deben ir informando cuando ocurran ciertos elementos importantes, y el comité debe ir dando las instrucciones necesarias. Por ejemplo: cuando se ha llevado a cabo una tarea con éxito, cuando una recuperación no se ha podido completar en el tiempo previsto, etc.

b)     Definición de los procedimientos de recuperación

En todo este contexto, otra de las buenas prácticas de disaster recovery es definir de forma muy detallada y específica cada uno de los procedimientos de recuperación. Para ello, lo ideal es dejar las instrucciones plasmadas en un documento muy fácil de entender, y que no dé espacio a la incertidumbre ni a lo improvisado. Todo, absolutamente todo, debe estar metódicamente establecido.

Por ejemplo, esas instrucciones deben dejar claro cuándo y cómo se deben solicitar permisos de acceso, qué equipos utilizar para el respaldo de información, a qué redes alternas de energía se pueden establecer conexiones, etc.

4.Buenas prácticas en la reconstitución del disaster recovery

Después de todo, la etapa de reconstitución del disaster recovery consiste en garantizar que los sistemas y las operaciones vuelvan a la normalidad en su totalidad. Acá se pueden presentar varias situaciones, por ejemplo: es posible que algunos sistemas se hayan dañado por completo o que algunas estructuras físicas se hayan destruido.

En estos casos, las acciones de reconstitución deben implicar tanto el reemplazo total de los sistemas como la reconstrucción de las instalaciones.

Algunas de las buenas prácticas de disaster recovery durante esta etapa son:

  • Realizar pruebas y mantener un monitoreo sobre los sistemas mientras son puestos en marcha nuevamente.
  • Garantizar que no haya quedado ninguna secuela del desastre sufrido.
  • Asegurar el restablecimiento de todos los servicios, tanto críticos como no críticos.
  • Concluir todos los mecanismos de contingencia que se tuvieron que accionar anteriormente.
  • Planificar y guiar el regreso a la normalidad por parte de toda la organización o de las áreas o personas afectadas.

Finalmente, uno de los aspectos más importantes que debes tener en cuenta como parte de las buenas prácticas de disaster recovery es la elaboración del documento del plan de recuperación de desastres.

Aparte de incluir los detalles de los procedimientos de activación, ejecución y reconstitución, este documento también debe incluir información clave como:

  • Detalles del documento (autores, historial de revisiones, referencias, etc.).
  • Propósito y objetivos del DRP.
  • Alcance y condiciones de aplicabilidad del DRP.
  • Roles y responsabilidades de todo el personal involucrado en el DRP.

También, es muy recomendable realizar actualizaciones del documento cada cierto tiempo. Para ello, el comité debe mantenerse al tanto de las novedades que se dan en el mundo exterior y de forma interna en la empresa, realizar simulacros periódicos y retroalimentarse de la experiencia adquirida cuando ocurra un desastre.

Si sigues estas buenas prácticas de disaster recovery, lograrás reducir mucho el posible impacto negativo que pueda tener un desastre en tu empresa, ya que tú y tu personal estarán capacitados para reaccionar de forma proactiva y eficaz.

New call-to-action
New call-to-action
  • Compartir
  • whatsapp
  • twitter
  • facebook
  • linkedin
  • mail

Suscríbete a nuestro newsletter y no te pierdas nada

Te puede interesar

Ver Todos Ver todos los artículos
Ciberseguridad

Disaster recovery: buenas prácticas para implementarlo

Leer más
Ciberseguridad

5 Ejemplos de Phishing: ¿Cómo identificar y prevenir estos ataques?

Leer más
Ciberseguridad

Seguridad digital: tipos, importancia, ventajas y características

Leer más
Ciberseguridad

Descubre las tendencias de ciberseguridad para las empresas

Leer más
Mostrar más artículos

Inicio de sesiónInicio de sesión

Ingresa tu email
Ingresa tu contraseña
Iniciar Sesión
¿Olvidaste tu contraseña?

¿Eres nuevo en Comunidad Entel Empresas?

Únete a Comunidad Entel Empresas, comparte tus experiencias, inquietudes y tus negocios. Regístrate y accede a:

Regístrate

Regístrate

¿Por qué registrarte?

Regístrate

¿Por qué registrarte?
Nombre
Apellido
Correo Corporativo
Confirma Correo Corporativo
¿Qué cargo ocupas en tu empresa?
¿Cuántas personas trabajan en tu empresa?
¿Qué tan digitalizada está tu empresa?
¿Cuál es el rubro de tu empresa?
Crea tu contraseña
Confirma tu contraseña

Perteneces a un programa de gobierno (Sernameg).

Acepto la política de privacidad de datos, y entrego consentimiento para uso de datos en campañas publicitarias y automatizaciones de Entel PCS Telecomunicaciones S.A y partners asociados.* *Debes aceptar políticas y condiciones para continuar

Quiero suscribirme al newsletter de la Comunidad Empresas. [OPCIONAL]

Quiero que me contacten para cotizar/contratar algún producto Entel Empresas. Al marcar esta casilla no obligatoria, además de descargar el contenido, estás solicitando ser contactado por un ejecutivo de Entel Empresas para contratar sus productos. Si estás seguro que deseas ser contactado, márcala y contesta los siguientes campos. [OPCIONAL]

Regístrate

¡Tu registro se ha resultado exitoso!

Te hemos enviado un email para activar tu registro.

¡Upsss hubo un problema de comunicación!

Inténtalo Nuevamente

Selecciona Categoría

No tienes categorias creadas, para guardar contenido debes crear una.
Crear categoría

Guardado con exito!

Ups, vuelve a intentarlo

Crear Categoría

Nombre de la categoría que quieres crear
Crear categoría

Editar Categoría

Ingresa el nuevo nombre de la categoría.
Editar categoría

Categoría Editada!

Ups, vuelve a intentarlo