Servicios Cloud

Servicios Cloud

DRP: aprende cómo iniciar un plan de recuperación ante desastres

flecha

Un Plan de Recuperación de Desastres (DRP) es prácticamente una póliza de seguro que le damos a nuestra empresa en caso de sucesos imprevistos y que nos ayudará a mantener todo a flote en los peores escenarios. Descubre cómo dar los primeros pasos en este blog.


Compartir
disaster recovery plan
octubre 30, 2023

Un plan de recuperación ante desastres (DRP) es esencial para garantizar la continuidad de las operaciones empresariales. 

Aunque algunas empresas confían principalmente en sistemas NGFW, WAF, UTM o antivirus robustos, un desastre puede ser causado por diversos factores que van más allá de los ataques cibernéticos

Es crucial entender las potenciales pérdidas económicas y el daño a la reputación que un desastre puede generar. Según OpenExpo Europe,

El 43% de las empresas europeas que enfrentan un desastre sin un plan adecuado nunca reanudan operaciones, y un 29% cierra en un plazo de dos años.

Es por ello que se considera esencial establecer los requisitos previos y los pasos para la implementación de un DRP adaptado al negocio. Veamos más a profundidad sobre este tema en el siguiente artículo.

¿Qué es un DRP o Disater Recovery Plan?

Un DRP es simplemente un documento elaborado por la empresa, donde se expresan de manera formal y ordenada, los pasos e instrucciones que se debe ejecutar de forma detallada ante algún acontecimiento inesperado que impacte al negocio.

Estos eventos que pueden provocar la suspensión de las operaciones comerciales pueden ser de origen natural, técnico o humano.

El DRP debe contener un mínimo de estrategias necesarias y obligatorias para mitigar el impacto del desastre en la organización y garantizar la continuidad de las operaciones en el menor tiempo posible.

Este plan es más centrado en los aspectos comerciales como el valor clave del negocio. Los aspectos técnico-específicos de las operaciones, deben estar estandarizados en procedimientos detallados dentro de cada área de la organización.

Lo que sí debe tener un DRP son los detalles de las acciones ante los diversos eventos que pueden activar un plan de contingencia como pueden ser:

  • Corte de energía.
  • Cortes de los sistemas de telecomunicaciones (telefónico e internet).
  • Pérdida temporal de acceso por amenazas de bomba.
  • Posible incendio de bajo impacto.
  • Inundación.
  • Terremoto.
  • Incendios.
  • Deterioro de infraestructura física por causas variadas.
  • Demás eventos disruptivos que causen desconexión de las operaciones comerciales de la empresa.

Por lo tanto, dependiendo de la contingencia, la organización deberá activar un tipo de DRP acorde a la situación, que deberá tener las instrucciones precisas para su ejecución satisfactoria y puesta en marcha de las operaciones lo más pronto posible.

Consecuencias de no tener un DRP acorde a la empresa

En los momentos menos esperados, pueden ocurrir eventos que paralizan las actividades de una empresa. Esto implica que las organizaciones deben garantizar la disponibilidad de sus servicios para evitar las interrupciones en la continuidad de las operaciones.

Es vital evaluar las consecuencias de los posibles eventos disruptivos ante un DRP. Por eso, la consultora Inbest.Solutions analiza las principales causas que pueden detener las operaciones, como las siguientes:

  1. Apagones: 75 %
  2. Errores de hardware: 52 %
  3. Errores humanos: 35 %
  4. Virus/ataques de malware: 34 %
  5. Desastres naturales 20 %

En un estudio hecho por la empresa Aberdeen Group, y publicado en el portal Whitebearsolutions, identifican que el promedio de la pérdidas es de 400.000 dólares por la interrupción del servicio de una organización como consecuencia de evento disruptivo negativo.

En el año 2015, el análisis realizado por esta firma, dio como resultado que la caída de las operaciones de una empresa promedio, sin un plan de recuperación establecido, ocasionó pérdidas de entre $82.000 y $256.000 por cada evento.

Estos son costos fijos relacionados a las operaciones comerciales, pérdida de mercancía, recuperación o reparación de equipos tecnológicos, cuando el desastre no es de alto nivel como terremotos, inundaciones o incendios críticos.

También están ligados otros aspectos económicos a la falta del DRP ante un incidente como:

Pérdidas por costos fijos

Es todo el desembolso de dinero que la empresa debe realizar sin importar el volumen de las ventas o del servicio prestado. Está relacionado al salario de los empleados, pago de los servicios fijos, alquileres, entre otros.

Pérdida de ingresos previstos

Es un ingreso que se deja de percibir correspondiente a la proyección de ventas que debe tener la empresa calculado por el número de horas que se encuentre sin restablecer sus servicios.

Pérdida por clientes perdidos

Este cálculo es muy impreciso, pero potencialmente riesgoso para el negocio, ya que representa el ingreso fijo de la empresa. Su cálculo es más complejo porque depende de la categorización del cliente y del promedio del volumen de compra del mismo para poder estimar dicha pérdida.

La pérdida de credibilidad

Representa un monto imperceptible, ya que se habla sobre la base de lo supuesto, pero nunca negado, donde no se sabe cuántos posibles clientes dejaron de estar interesados en contactar a la empresa por la reputación que se genera.

Igualmente esta pérdida afecta a los clientes ya existentes en la estabilidad de sus propios negocios ante futuros eventos.

Adicionalmente existen una serie de costos ocultos relacionados a la detección del problema y la restauración del servicio, que puede mencionarse como:

  • Detección e identificación del problema.
  • Contención o mitigación del problema.
  • En el proceso de restauración de los sistemas.
  • De reposición o reparación de equipos y tecnología.
  • De productividad del departamento de IT en la resolución del evento.

6 Pasos para implementar un Disaster Recovery Plan

Al momento de establecer un DRP, éste deberá contener todos los criterios posibles de activación y ejecución, así como los procedimientos bien establecidos de cada área involucrada en el proceso.

En tal sentido, toda empresa debe tener listo su BCP (Plan de Continuidad del Negocio, por sus siglas en inglés) que establecen los criterios comerciales a seguir ante un desastre, y su DRP, que establece los criterios de recuperación de servicios e información para el mismo.

La compañía de software ESET, propone un plan de 6 pasos para poder tener un DRP saludable y al día en la empresa.

1. Establecer el BCP ideal para la empresa.

La organización debe identificar los nudos críticos del negocio para poder atenderlos ante un incidente y evitar que colapsen aún más las operaciones. Realizar modelos proyectados de estrategias diferenciales de comunicación para atender a los clientes y lograr aceptación de la situación.

Deberán dedicarse a establecer el marco referencial de operación del plan y la clasificación de los sistemas involucrados en el mismo, así poder diferenciarlos rápidamente y evaluar los más críticos.

2. Realizar una evaluación de riesgos

Se deben registrar todas las posibles amenazas a las cuales podría estar sometido el negocio o las operaciones de la empresa. Esto debe incluir la infraestructura tecnológica y física, la edificación, la zona de ubicación de las instalaciones, la calidad de los servicios contratados de forma externa, etc.

Con todas estas variables en la mano y analizadas correctamente se puede realizar un mapa de riesgo y de acciones ante cualquier evento probable.

3. Hacer análisis de impacto al negocio

En este punto, se definen los objetivos del DRP, ya que permite establecer y medir los tiempos de la recuperación de los servicios y así lograr disminuir las personas económicas del negocio.

En esta etapa, se establece el Tiempo Objetivo de Recuperación (RTO por sus siglas en inglés), que representa el tiempo ideal de recuperación de los servicios ante un incidente, y el Punto Objetivo de Recuperación (RPO), que seria la antigüedad de la data que se recupera en el evento a partir del último respaldo de información realizado.

En este punto sería importante tener claro cuál servicio de Backup debe tener implementado en su empresa para garantizar la efectividad del DRP.

4. Ejecución de estrategias DRP y BCP (Plan de Continuidad de Negocio)

Es aquí donde, deben estar bien escritas y disponibles las instrucciones y responsables de todas las actividades a ejecutar por cada una de las unidades responsables en la organización.

5. Concientización, capacitación y prueba de planes

Realizar las inducciones y entrenamiento del personal. Hacer las prácticas o ensayos de los planes para encontrar fallas o puntos de mejora.

Estas instrucciones deben también tener sus módulos de validación y pruebas para garantizar que dichos procesos se actualicen constantemente en el tiempo.

6. Mantenimiento y mejoras del plan

Cada vez que se ponga en práctica el plan, ya sea por una contingencia o por una prueba de eficacia, deberá evaluarse cada instrucción del mismo para encontrar aspectos que permitan tener un mejor índice en RTO y RPO del DRP establecido.

Beneficios de un DRP

Para cerrar, un DRP puede ser considerado un costo adicional para una empresa si se ve solo de la inversión a ejecutar para su establecimiento, pero representa más que eso.

Las organizaciones que poseen bien establecidos los parámetros para recuperar las operaciones del negocio ante un desastre, siempre van a estar un paso más adelante que otras que no lo tengan.

El DRP implica que, la empresa deberá tener al día sus sistemas informáticos y poseer servicios acorde a su negocio. Aquí es donde se mide el beneficio, al mejorar la fiabilidad informática del negocio con servicios idóneos como BaaS, DRaaS, Data Center, etc.

Otros beneficios a considerar también, pueden ser:

  • Manejo eficiente de los costos. Al tener implementadas las medidas preventivas ante riesgos, permite reducir el presupuesto de contingencias y de horas-hombre en esas actividades.
  • Incremento de la productividad del personal. Esto se explica porque el DRP debe ser ejecutado por las personas capacitadas, lo que implica que el personal esté entrenado en prevenir y recuperar los servicios, en otras palabras, menos paradas técnicas y más horas dedicadas a producir.
  • Mayor retención de clientes. Se logra al tener menos fallas o eventos que puedan afectar al usuario final del servicio o producto. Y un cliente satisfecho siempre generará continuidad en la relación comercial.
  • Mejor escalabilidad de negocio en todo su aspecto. Cuando los empleados están involucrados en un DRP, entienden mejor los objetivos de la empresa y su proyección. Por lo tanto, el personal deja de verse como un empleado y se integra a proteger los activos de la organización bajos los roles establecidos en el DRP.


Suscríbete a nuestro blog

y recibe nuestros contenidos semanales

Contacta con un experto