Plan de recuperación de desastres infomáticos
¿Qué es un plan de recuperación de desastres informáticos?
Un plan de recuperación de desastres informáticos se podría denominar a las medidas establecidas con anticipación para;
- cubrir riesgos que afectan la continuidad de un negocio y,
- que facilitan el proceso de recuperación de datos,
- la utilización de hardware alternativo y,
- el software crítico, en caso de un desastre natural o causado por humanos.
Este artículo lo escribimos como parte de la asesoría para el fortalecimiento de una empresa
¿Por dónde empezar?
Para empezar la empresa debería iniciar con:
- el BCP -la Planificación de la Continuidad del Negocio (enfoque top-down), y después o simultáneamente considerar
- el DRP -la Planificación de Recuperación de Desastres de los servicios y sistemas de TIC.
Por otro lado podría la empresa empezar con la Planificación de Recuperación de Desastres de los servicios y sistemas de TIC (enfoque bottom-up), y luego considerar la Planificación de la Continuidad del Negocio.
También podría la empresa haber empezado con la planificación de contingencias para un departamento (liquidez, talento humano, compras prioritarias, producción, operaciones, etc.) o para una región (costa, sierra, ultramar, dimensión virtual, etc.).
¿Cuándo es el momento de empezar a elaborar un plan de recuperación de desastres?
El momento adecuado para elaborar un plan de recuperación de desastres es ahora.
Por esta razón, en cualquier momento la empresa podría establecer un Sistema de Gestión de la Continuidad del Negocio para que administre:
- todos los planes,
- estudios,
- análisis,
- presupuestos,
- recursos,
- prioridades, etc.;
Además de, todos los temas relacionados con contingencias, sostenibilidad del negocio, responsabilidad social con las comunidades relacionadas.
¿Existe alguna guía para implementar un plan de recuperación de desastres?
En primer lugar debemos decir que, es importante considerar que para cada necesidad hoy existen estándares, marcos, modelos, referencias que contienen mejores prácticas para asegurar que las actividades de planificación de contingencias se realizan con la mejor calidad profesional.
Por ejemplo, para la Gestión de la Continuidad del Negocio existe la familia ISO 22300 (ISO 22301, ISO 22317, ISO 22398, ISO 22313…), así como la norma BS 25999 (partes 1 y 2). Para la Recuperación de Desastres Informáticos existen: ISO 24762 específicamente, con guías de apoyo en ISO 20000, Cobit 5, ITIL, NIST SP 800-34, BS 25777, ISO 27002.
Por ello, en el caso de DRP -la Planificación de Recuperación de Desastres de los servicios y sistemas de TIC, los temas que se deben resolver apoyándose en el estándar y las normas de referencia incluyen a los siguientes:
Recuperación de servicios TIC:
Por ejemplo:
- Estabilidad ambiental,
- Gestión de activos,
- Proximidad del sitio,
- Gestión de proveedores,
- Arreglos de subcontratación (outsourcing),
- Seguridad de la información,
- Activación y desactivación del plan de recuperación de desastres,
- Entrenamiento y educación,
- Pruebas en sistemas TIC,
- Planificación de continuidad del negocio para proveedores de servicios TIC DR,
- Documentación y revisión periódica,
- Instalaciones de recuperación de desastres.
•Recuperación de las instalaciones TIC:
Por ello debemos identificar:
- Ubicación de los sitios de recuperación,
- Controles de acceso físico,
- Seguridad de la instalación física,
- Áreas dedicadas,
- Controles ambientales,
- Telecomunicaciones,
- Fuente de alimentación,
- Gestión de cables,
- Protección contra incendios,
- Centro de operaciones de emergencia (EOC),
- Instalaciones restringidas,
- Instalaciones físicas y ciclo de vida del equipo de soporte,
- Pruebas.
•Capacidad de proveedores de servicios subcontratados (outsourcing):
Por otro lado debemos revisar el estado de recuperación de desastres de la organización, Requisitos de instalaciones, Experiencia, Control de acceso lógico, Equipo de TIC y preparación para la operación, Soporte de recuperación simultánea, Niveles de servicio, Tipos de servicio, Proximidad de los servicios, Ratio de suscripción para servicios compartidos, Activación de los servicios suscritos, Prueba de organización, Cambios en la capacidad, Plan de respuesta de emergencia, Autoevaluación.
•Selección de sitios de recuperación:
Además debemos seleccionar sitios de recuperación de Infraestructura, Mano de obra y soporte calificados, Masa crítica de proveedores, Registro de seguimiento de proveedores de servicio local, Soporte local proactivo.
•Mejora continua:
Por último revisar las tendencias TIC DR, Medición del rendimiento, Escalabilidad, Mitigación de riesgos.
Finalmente puedes consultar más sobre este tema en:
Referencias:
•Lo que no debe hacer al implementar con la Norma ISO 22301 para Continuidad del Negocio http://noen22301.blogspot.com/
•Gestion de Riesgos combinando Business Analytics y herramientas de Business Intelligence https://www.amazon.com/dp/B01MYM3WP6
•Buenas practicas de Mejoramiento Continuo http://mejoramientocontinuoitilcsi.blogspot.com/
•COSO 2013 http://www.youtube.com/watch?v=c2Wb4NwWGLw
Keywords: #DRP, #continuidaddelnegocio, #gestionderiesgos, #RiesgoOperativo, 24762, Resilience, Continuidad, Sostenibilidad, Seguridad, 22301, 22319, 22398, 22317, 25999, DRP, 31000, NIST