Un plan de recuperación de desastres (DR) de tecnologías de la información (TI) proporciona un enfoque estructurado para responder a los incidentes no planeados que amenazan a una infraestructura de TI, que incluye hardware, software, redes, procesos y personas. La protección de la inversión de su empresa en su infraestructura tecnológica, y la protección de la capacidad de su empresa para hacer negocios son las razones clave para implementar un plan de recuperación de desastres de TI.
En esta guía, usted aprenderá todo lo que necesita saber acerca de la elaboración de un plan de recuperación de desastres de TI. Aprenderá paso a paso el desarrollo de un plan de DR de TI y las consideraciones más importantes de planificación de recuperación de desastres de TI.
¿Qué es un plan de recuperación de desastres de TI?
Los planes de recuperación de desastres de TI proporcionan procedimientos paso a paso para la recuperación de los sistemas y redes con disrupción, y les ayuda a reanudar las operaciones normales. El objetivo de estos procesos es minimizar cualquier impacto negativo en las operaciones de la empresa. El proceso de recuperación de desastres de TI identifica los sistemas y redes críticos de TI; prioriza su objetivo de tiempo de recuperación; y delinea los pasos necesarios para reiniciarlos, reconfigurarlos y recuperarlos. Un plan integral de DR también incluye todos los contactos de proveedores relevantes, fuentes de conocimientos para la recuperación de los sistemas alterados y una secuencia lógica de pasos de acción a tomar para una recuperación sin problemas.
Suponiendo que usted ha completado una evaluación de riesgos y de ha identificado las amenazas potenciales a su infraestructura de TI, el siguiente paso es determinar qué elementos de infraestructura son más importantes para el desempeño de los negocios de su empresa. También, bajo el supuesto de que todos los sistemas informáticos y las redes están funcionando normalmente, su empresa debe mantenerse completamente viable, competitiva y financieramente sólida. Cuando un incidente –interno o externo– afecta negativamente a la infraestructura de TI, el negocio podría verse comprometido.
A continuación se resume la estructura ideal para un plan de recuperación de desastres de TI, según la Publicación Especial 800-34 del Instituto Nacional de Estándares y Tecnología (NIST), Planificación de Contingencia para Sistemas Informáticos:
1. Desarrolle la declaración de política de planificación de contingencia. Una política formal proporciona la autoridad y la orientación necesaria para desarrollar un plan de contingencia efectivo.
2. Lleve a cabo el análisis de impacto en el negocio (BIA). El análisis de impacto al negocio ayuda a identificar y dar prioridad a los sistemas informáticos y componentes críticos.
3. Identifique los controles preventivos. Se trata de medidas que reduzcan los efectos de las interrupciones del sistema y puedan aumentar la disponibilidad del sistema y reducir los costes del ciclo de vida de contingencia.
4. Desarrolle estrategias de recuperación. Exhaustivas estrategias de recuperación garantizan que el sistema se puede recuperar rápidamente y con eficacia después de una interrupción.
5. Desarrolle un plan de contingencia de TI. El plan de contingencia debe incluir orientación y procedimientos detallados para la restauración de un sistema dañado.
6. Plan de pruebas, entrenamiento y ejercicios. Probar el plan identifica las lagunas de planificación, mientras que la formación prepara al personal de recuperación para la activación del plan; ambas actividades mejoran la efectividad del plan y la preparación general de todos los agentes.
7. Planee el mantenimiento. El plan debe ser un documento vivo que se actualiza regularmente para mantenerse al día con las mejoras del sistema.
Paso a paso en el desarrollo del plan de DR de TI
Usando la estructura mencionada en el SP 800-34, podemos ampliar esas actividades en la siguiente secuencia estructurada de actividades.
1. El equipo de desarrollo del plan debe reunirse con el equipo interno de tecnología, el equipo de aplicación, y el (los) administrador(es) de la(s) red(es) para establecer el alcance de la actividad, por ejemplo, elementos internos, los activos externos, recursos de terceros, los vínculos con otras oficinas/clientes/vendedores; asegúrese de reportar a la alta dirección del departamento de TI sobre estas reuniones para que estén debidamente informados.
2. Reúna todos los documentos pertinentes de infraestructura de red, por ejemplo, diagramas de red, configuraciones de equipos, bases de datos.
3. Obtenga copias de los planes existentes de TI y DR de las redes existentes; si éstos no existen, continúe con los pasos siguientes.
4. Identifique lo que la administración percibe como las amenazas más graves a la infraestructura de TI, por ejemplo, el fuego, el error humano, pérdidas de energía, fallas en el sistema.
5. Identifique lo que la administración percibe como las vulnerabilidades más graves a la infraestructura, por ejemplo, la falta de energía de reserva, copias no actualizadas de bases de datos.
6. Revise antecedentes de cortes e interrupciones de energía, y cómo los manejó la empresa.
7. Identifique lo que la administración percibe como los activos más críticos de TI, por ejemplo, centro de llamadas, granjas de servidores, el acceso a internet.
8. Determine el tiempo máximo de interrupción que la administración puede aceptar si los activos de TI identificados no están disponibles.
9. Identifique los procedimientos operativos que actualmente se utilizan para responder a cortes críticos.
10. Determine cuando fue la última vez que estos procedimientos se evaluaron para validar su adecuación.
11. Identifique el (los) equipo(s) de respuesta a emergencias para todas las interrupciones críticas de infraestructura de TI; determine su nivel de formación con los sistemas críticos, especialmente en situaciones de emergencia.
12. Identifique las capacidades de respuesta de emergencia de los proveedores; si se han utilizado alguna vez; si funcionaron correctamente; cuánto está pagando la empresa por estos servicios; estado del contrato de servicio; presencia de un acuerdo de nivel de servicio (SLA) y si se utiliza.
13. Compile los resultados de todas las evaluaciones en un informe de análisis de brechas que identifica lo que se hace actualmente en comparación con lo que debe ser hecho, con recomendaciones sobre la manera de alcanzar el nivel necesario de preparación, y la inversión estimada requerida.
14. Haga que la gerencia y la dirección revisen el informe y verifique si están de acuerdo con las acciones recomendadas.
15. Prepare un plan de recuperación de desastres de TI para hacer frente a los sistemas críticos de TI y redes.
16. Realice pruebas de los planes y de los activos de recuperación del sistema para validar su funcionamiento.
17. Actualice la documentación del plan de DR para reflejar los cambios.
18. Establezca en la agenda la próxima revisión/auditoría de las capacidades de recuperación de desastres de TI.
(Fuente: NIST SP 800-34)
Consideraciones importantes de planificación de recuperación de desastres de TI
• Soporte de la alta dirección. Asegúrese de obtener el apoyo de la alta dirección para que sus metas del plan se puedan lograr.
• Tome en serio el proceso de planificación de DR. Aunque el plan de DR de TI puede tomar una gran cantidad de tiempo para la recolección y análisis de datos, no tiene que constar de docenas de páginas. Los planes simplemente necesitan la información correcta, y que dicha información seaactualizada y precisa.
• Disponibilidad de las normas. Entre las normas pertinentes que usted puede utilizar al desarrollar los planes de DR de TI se encuentran NIST SP 800-34, ISO/IEC 24762 y BS 25777.
• Manténgalo simple. La recopilación y organización de la información adecuada es fundamental.
• Revise los resultados con las unidades de negocio. Una vez que el plan de recuperación de desastres de TI esté completo, revise los hallazgos con los líderes de las unidades de negocio para asegurarse de que sus suposiciones son correctas.
• Sea flexible. Los lineamientos sugeridos a continuación pueden ser modificados según sea necesario para lograr sus objetivos.
Revisión de pasos y procesos del plan de recuperación de desastres de TI
A continuación, vamos a examinar ciertos procesos que pueden servir como pasos para elaborar su plan de recuperación de desastres de TI, indicando cuestiones clave que abordar y actividades a realizar.
1. Declaración de Intención de las Tecnologías de Información – Esto prepara el escenario y la dirección para el plan.
2. Declaración de política – Muy importante incluir una declaración aprobada de políticas con respecto a la prestación de servicios de recuperación de desastres.
3. Objetivos – Principales objetivos del plan.
4. Información de contacto de personal clave – Es muy importante tener datos de contactos clave en la primera parte del plan. Es la información más susceptible de ser utilizada de inmediato, y debe ser fácil de localizar.
5. Resumen del plan – Describe aspectos básicos del plan, tales como la actualización.
6. Respuesta a emergencias – Describe lo que hay que hacer inmediatamente después de la aparición de un incidente.
7. Equipo de recuperación de desastres - Miembros e información de contacto del equipo de DR.
8. Alerta de emergencia, escalamiento y activación del DRP – Pasos a seguir a través de la fase inicial del incidente, lo que lleva a la activación del plan de DR.
9. Medios – Consejos para tratar con los medios de comunicación.
10. Seguros – Resume la cobertura del seguro asociado con el entorno de TI y otras políticas pertinentes.
11. Asuntos legales y financieros - Acciones a tomar para hacer frente a los problemas financieros y legales.
12. Ejercicio del DRP – Subraya la importancia de ejecutar el plan de DR.
13. Apéndice A – Se sugiere incluir plantillas del Plan de recuperación de desastres tecnológico –plantillas de muestra para una variedad de recuperaciones de tecnología; es útil tener documentación técnica disponible de proveedores selectos.
14. Apéndice B – Sugerencias de formularios –formas listas para usar que ayudarán a facilitar la realización del plan.
Teniendo en cuenta las inversiones que las empresas hacen en sus infraestructuras de TI, también deben invertir tiempo y recursos suficientes para proteger esas inversiones contra eventos no planificados y potencialmente destructivos. En la publicación hermana deSearchDataCenter en Español dedicada a publicar información de recuperación de desastres, SearchDisasterRecovery.com, puede encontrar documentación descargable y plantillas de planificación del DR de TI que le ayudarán a empezar a trabajar en el desarrollo de planes para proteger y recuperar sus activos de infraestructura de TI críticos después de sufrir in incidente. searchdatacenter.techtarget.