Recuperación tras desastres: ¡preparando tu negocio para que puedas sobrevivir a lo peor!
Por un momento, detente y piensa: incluso si el core business de tu empresa no es la tecnología, toda tu operación depende de los recursos tecnológicos para funcionar. Computadoras, computadoras portátiles, tabletas, smartphones, servidores, impresoras, copias de seguridad guardadas en HD externos, teléfonos... Y, por supuesto, es muy probable que tu empresa tenga presencia digital (al menos un sitio web y perfiles en las principales redes sociales) y se comunique con clientes, proveedores y socios haciendo uso de la web, ya sea por correo electrónico o por cualquier otro medio.
Es algo natural. Estamos en plena era de las tecnologías de la información y estas nos facilitan mucho la vida profesional. Sin embargo, por otro lado, por más confiables que parezcan, la más mínima distracción puede desencadenar una crisis capaz de provocar la interrupción de toda la operación corporativa. Esa “distracción” podría ser un error humano, pero el cese de la operación también podría causarlo un desastre natural (inundaciones, terremotos, etc.), un apagón general o, por supuesto, un ciberataque. El ransomware es el mejor ejemplo que podemos citar aquí.
En cuestión de segundos, los datos críticos se vuelven inaccesibles, la comunicación se interrumpe y las aplicaciones cruciales no se pueden utilizar. ¿Qué hacer? ¿Lamentarse? ¿Llorar? ¡Obviamente, no! Para superar estas situaciones y volver a la normalidad lo antes posible, es fundamental que la empresa cuente con un plan de recuperación tras desastres, también conocido por el término original en inglés, disaster recovery plan. Esto es algo que, lamentablemente, muchas empresas desestiman y consideran que no es necesario adoptar.
Etapas de un buen plan
“Recuperación tras desastres” es el nombre que se le da al plan estratégico que lista un conjunto de acciones que se deben tomar para prevenir, sobrevivir y remediar una crisis. Hablamos de una serie de políticas y procedimientos que, en principio, están diseñados para evitar que ocurra un desastre. Sin embargo, este conjunto de reglas también prevé la puesta en práctica de ejercicios en caso de que algo salga mal. De esta forma, se garantiza la continuidad del negocio y se pueden corregir los errores posteriormente para evitar que vuelvan a ocurrir.
Es, en términos generales, una verdadera guía de supervivencia. Y, como tal, debe escribirse con gran responsabilidad y atención. La primera regla general para un plan exitoso de recuperación tras desastres es que se elabore tomando en cuenta las amenazas reales que puede enfrentar el ecosistema corporativo de que trate. Ninguna empresa es igual a otra y, por eso, la compañía X puede tener más probabilidades de sufrir un problema en particular que la empresa Y. Comprender los riesgos que corre tu empresa es fundamental.
Así, el disaster recovery plan (plan de recuperación tras desastres o simplemente DRP) debe prepararse siguiendo tres pasos:
-
Gestión de Crisis: las acciones que se deben tomar para solucionar el problema;
-
Mantenimiento de la Continuidad Operativa: acciones rutinarias para asegurar el correcto funcionamiento de los servicios;
-
Recuperación del Servicio: restauración de los activos afectados, como datos perdidos, hardwares rotos, información dañada, etc.
Es importante recordar, sin embargo, que el DRP no es una estrategia perpetua y que, por eso, debe actualizarse constantemente a medida que la empresa adopta nuevas tecnologías y se identifican nuevos riesgos para la continuidad del negocio. ¡Imagínate tratando de sobrevivir hoy con una guía escrita hace 10 años!
¡La tecnología es una aliada!
Cuando hablamos de recuperación tras desastres, podría hasta parecer que te estamos diciendo que no podemos confiar en la tecnología porque no es confiable. Pero no es nada de eso. Ese no es el propósito de un DRP, así como el hecho de que existan airbags no nos hace dejar de usar automóviles para trasladarnos. Incluso, las nuevas tecnologías que están surgiendo en el mercado pueden ayudar, ¡y mucho!, a mejorar tu plan.
La computación en la nube, por ejemplo, es una forma mucho más flexible, escalable y confiable de almacenar tus copias de seguridad, con una tasa de uptime (disponibilidad) mucho más alta en comparación con los servidores locales. Varias soluciones disponibles para la venta hacen copias de seguridad y ayudan en la recuperación de forma automatizada, reduciendo, así, el tiempo necesario para solucionar una crisis. Los frameworks y modelos de gobernanza de TI también ayudan.
Y, por supuesto, la concienciación de los usuarios también es muy importante antes, durante y después de la crisis, ya que todos los colaboradores estarán debidamente preparados para actuar de acuerdo con el plan. Por ello, es importante capacitarlos y asegurarte de que toda la empresa esté alineada con la estrategia de seguridad.