Conceptos básicos del Plan de Continuidad de Negocio/DRP que todos deberiamos conocer, pero que en muchas ocasiones nos cuesta identificar y plasmarlos en el plano de tiempo del Plan de Recuperación por Desastre (DRP).

El Plan de Recuperación por Desastre (DRP) es una parte importante de la Continuidad del Negocio. El DRP definitivo no solo proporciona un procedimiento para recuperar datos y sistemas en caso de desastre, sino que también incluye los objetivos de continuidad del negocio, enumera las herramientas y los planes que se han hecho para que la empresa funcione lo antes posible en caso de emergencia de TI y asegurando un traspaso eficiente de información.

La concepción de un documento DRP escrito es la oportunidad perfecta para unir los objetivos de la empresa con las herramientas, servicios y procedimientos de TI.

Por ello, veremos cómo configurar un DRP en 4 pasos:

  1. Establecer objetivos
  2. Definir prioridades
  3. Especificar la estrategia de respaldo y recuperación ante desastres
  4. Organizar la emergencia.

Establecer objetivos

Y para ello, debemos conocer estos conceptos básicos :

Recovery Point Objective (RPO)

Plan de Continuidad de negocio - RTO
  • Define tu objetivo de RPO

Determina la cantidad máxima aceptable de pérdida de datos (en minutos u horas) que la empresa está lista / se puede permitir. Debe ser acordado tanto por el propietario / director de la compañía como por la gerencia de TI.

  • ¿Con qué se relaciona RPO?

RPO es el tiempo entre la última copia de seguridad creada y el momento del desastre. Una vez que se haya definido claramente el objetivo de RPO de la empresa, nos ayudará a configurar el trabajo de respaldo adecuado.
Para los sistemas críticos, es recomendable un RPO de 15 minutos para un buen compromiso entre la carga del sistema y el tiempo de procesamiento.

Recovery Time Objective (RTO)

Plan de Continuidad de Negocio - RTO
  • Define tu objetivo RTO

En esta etapa, el sistema se recupera y vuelve a estar en línea, pero aún no está listo para la producción. El objetivo de tiempo de recuperación (RTO) determina la cantidad máxima de tiempo tolerable necesario para que todos los sistemas críticos vuelvan a estar en línea. Esto cubre, por ejemplo, restaurar datos de una copia de seguridad o corregir un fallo. En la mayoría de los casos, esta parte la lleva a cabo el administrador del sistema, el administrador de red, el administrador de almacenamiento, etc.

  • ¿Con qué se relaciona RTO?

Seleccione una solución de respaldo y recuperación ante desastres que pueda recuperar e iniciar su sistema y datos en el RTO que hemos definido, o verifica que nuestra solución actual cumple con la necesidad

Working Recovery Time (WRT)

Plan de Continuidad de negocio - WRT
  • Define tu objetivo WRT

En esta etapa, se recuperan todos los sistemas, se verifica la integridad del sistema o de los datos y todos los sistemas críticos pueden reanudar las operaciones normales. El Tiempo de recuperación del trabajo (WRT) determina la cantidad máxima de tiempo tolerable que se necesita para verificar el sistema y / o la integridad de los datos. Esto podría ser, por ejemplo, verificar las bases de datos y registros, asegurándose de que las aplicaciones o servicios se estén ejecutando y estén disponibles. En la mayoría de los casos, esas tareas las realiza el administrador de la aplicación, el administrador de la base de datos, etc. Cuando todos los sistemas afectados por el desastre se verifican y / o recuperan, el entorno está listo para reanudar la producción nuevamente.

  • ¿Con qué se relaciona WRT?

Una vez que los sistemas se restauran y arrancan, el técnico de TI aún puede necesitar verificar aplicaciones, bases de datos o configuraciones de red. Necesita asegurarse de que todo esté disponible y funcione bien. Si se detecta un problema, este tiempo de búfer cuenta como tiempo de usuario no productivo.

Maximum Tolerable Downtime (MTD)

Plan de Continuidad de Negocio - MTD
  • Define tu objetivo MTD

La suma de RTO y WRT se define como el Tiempo de inactividad máximo tolerable (MTD) que define la cantidad total de tiempo que un proceso de negocio puede interrumpirse sin causar consecuencias inaceptables. Este valor debe ser definido por el equipo de gestión empresarial o alguien como CTO, CIO o gerente de TI.

  • ¿Con qué se relaciona MTD?
MTD = RTO + WRT.

Es la cantidad de tiempo total que el técnico de TI tiene para que los usuarios y los sistemas estén completamente operativos desde el momento del desastre.

No todos los sistemas y ubicaciones tienen las mismas prioridades en caso de un desastre. Debemos determinar qué es crítico y qué no, qué puede estar desconectado durante 1 hora , por ejemplo y qué no.

Para cada ubicación, debemos enumerar los sistemas y servicios de TI disponibles y completar una tabla. Esto nos permitirá destacar sistemas críticos de otros no tan importantes y configurar estos conceptos vistos ( RPO, RTO, WRT y MTD ) de una forma correcta.

Especificar la estrategia de respaldo y recuperación ante desastres

Se puede usar una estrategia diferente de respaldo y recuperación de desastres para cumplir con los requisitos del paso anterior, así como tambien debemos ajustarnos a los presupuestos de TI.

Para cada ubicación y cada sistema, debemos enumerar, qué medidas tomar. Hoy en día, todos los escenarios deben cumplir con el Artículo 32 del RGPD: ¡las copias de seguridad no son suficientes!

Las empresas deben tener:

  1. Copias de seguridad automáticas y frecuentes
  2. Copias de seguridad protegidas con contraseña y totalmente encriptadas
  3. Una copia del archivo de respaldo en una ubicación externa
  4. Un proceso de verificación y prueba de respaldo
  5. Restricciones para limitar el acceso al archivo de respaldo solo a un número limitado de personas autorizadas
  6. Todas las actividades de respaldo monitorizadas
  7. La posibilidad y el conocimiento para restaurar archivos de respaldo rápidamente

Organizar la emergencia

El DRP debe incluir toda la información necesaria para que la empresa sepa qué se debe hacerse en caso de desastre.

Documentación necesaria

  1. Incluir las credenciales del sistema y las contraseñas de respaldo en el Plan de Recuperación ante Desastres, o al menos debemos  indicar dónde se pueden encontrar fácilmente. Tener tambien una versión en papel de las contraseñas / credenciales. Nunca se sabe cuándo ocurre el desastre, ni si la máquina donde se almacenan las contraseñas podría fallar.
  2. Guarde e imprima el DRP : Asegúrate de guardar una copia digital en múltiples ubicaciones seguras, así como de tener varias copias impresas en diferentes ubicaciones. No olvides informar a varias personas sobre las ubicaciones del Plan de Recuperación por Desastre.
  3. Información de contacto: asegúrate de que tu DRP contenga: Tanto los datos de contacto internos de todas las personas involucradas en el proceso de restauración, como los detalles de contacto externo de todas las personas involucradas en el proceso de restauración (proveedor de TI, por ejemplo)