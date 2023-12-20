Publicado: 21 de diciembre de 2023
Colaboradores: Mesh Flinders, Ian Smalley
La recuperación ante desastres y la continuidad del negocio (BCDR) se refiere a un proceso que ayuda a las organizaciones a volver a las operaciones comerciales normales si ocurre un desastre. Si bien la continuidad del negocio y la recuperación ante desastres están estrechamente relacionadas, describen dos enfoques sutilmente diferentes para la gestión de crisis que las empresas pueden adoptar.
A medida que la prevención de la pérdida de datos y el tiempo de inactividad se vuelven más costosos, muchas organizaciones están aumentando su inversión en gestión de emergencias. En 2023, las empresas de todo el mundo iban a gastar 219 000 millones de dólares en ciberseguridad, un aumento del 12 % con respecto al año anterior, según un informe reciente de International Data Corporation.
¿Qué es un plan de recuperación ante desastres?
Un plan de recuperación ante desastres (DRP) es un plan de contingencia sobre cómo una empresa se recuperará de un evento inesperado. Los DRP ayudan a las empresas a gestionar diferentes escenarios de desastre, como interrupciones masivas, desastres naturales, ataques de ransomware y malware, y muchos otros.
¿Qué es un plan de continuidad del negocio?
Al igual que los DRP, los planes de continuidad del negocio (BCP) desempeñan un papel crucial en la recuperación ante desastres y ayudan a las organizaciones a volver a sus funciones comerciales normales cuando ocurre un desastre. Mientras que un DRP se centra específicamente en los sistemas de TI, la gestión de la continuidad del negocio se centra de manera más amplia en diversos aspectos de la preparación.
La mayoría de las organizaciones dividen la planificación de la BCDR en dos procesos separados: la continuidad del negocio y la recuperación ante desastres. Este enfoque es eficaz porque, aunque los dos procesos comparten muchos pasos, también existen diferencias clave en la forma en que las organizaciones construyen, implementan y prueban los planes.
La principal diferencia es que los BCP son proactivos y tienen como objetivo mantener las operaciones antes, durante e inmediatamente después de un desastre. Por otro lado, los DRP son reactivos y se centran en cómo responder y recuperarse de un incidente. Esta distinción debe guiar la creación de su estrategia BCDR, con los BCP centrados en los procesos y roles críticos, y los DRP en las acciones de recuperación posteriores al incidente.
Ambos procesos dependen en gran medida de dos componentes críticos: el objetivo de tiempo de recuperación y el objetivo del punto de recuperación.
Objetivo de tiempo de recuperación (RTO)
RTO se refiere a la cantidad de tiempo que se tarda en restaurar los procesos de negocio tras un incidente imprevisto. Establecer un RTO razonable es una de las primeras cosas que deben hacer las empresas al crear su DRP.
Objetivo de punto de recuperación (RPO)
El RPO de su empresa es la cantidad de datos que puede permitirse perder en un desastre y aún así recuperarse. Dado que la protección de datos es una capacidad fundamental de muchas empresas modernas, algunas copian constantemente los datos a un centro de datosremoto para garantizar la continuidad en caso de una brecha masiva. Otras fijan un RPO de unos minutos (o incluso horas) para recuperar los datos empresariales de un sistema de copia de seguridad, de modo que saben que son capaces de recuperarse de lo que hayan perdido durante ese tiempo.
1. Realice un análisis del impacto empresarial
Para elaborar un BCP eficaz, primero debe comprender los distintos riesgos a los que se enfrenta su organización. El análisis del impacto empresarial (BIA) es vital en la gestión de riesgos y la resiliencia empresarial. El BIA es el proceso de identificar y evaluar el impacto potencial de un desastre en las operaciones normales. Un BIA sólido incluye una visión general de todas las posibles amenazas y vulnerabilidades existentes (internas y externas) y planes detallados para mitigarlas. El BIA también debe identificar la probabilidad de que se produzca un suceso para que la organización pueda priorizar en consecuencia.
2. Diseñe respuestas
Cuando haya completado su BIA, el siguiente paso en la creación de su BCP es planificar respuestas eficaces a cada una de las amenazas que ha identificado. Las diferentes amenazas requieren naturalmente diferentes estrategias de recuperación ante desastres, por lo que cada una de sus respuestas debe tener un plan detallado sobre cómo la organización detectará una amenaza específica y la abordará.
3. Identifique las funciones y responsabilidades clave
Este paso dicta cómo responden los miembros clave de su equipo cuando se enfrentan a una crisis o evento disruptivo. Documenta las expectativas de cada miembro del equipo y también los recursos necesarios para que cumplan sus funciones. Esta parte del proceso es buena para tener en cuenta cómo se comunican las personas cuando se produce un incidente. Algunas amenazas cierran redes clave, como la conectividad móvil o a Internet, por lo que es importante contar con métodos de comunicación alternativos fiables.
4. Pruebe y actualice su plan
Para ser procesable, debe practicar y perfeccionar constantemente su plan de BCDR. Las pruebas y la formación constantes de los empleados conducen a una implementación fluida cuando se produce un desastre real. Ensaye escenarios realistas como ciberataques, incendios, inundaciones, errores humanos, cortes masivos y otras amenazas relevantes para que los miembros del equipo puedan adquirir confianza en sus funciones y responsabilidades.
Al igual que los BCP, los DRP requieren un BIA, es decir, la definición de funciones y responsabilidades, así como pruebas y perfeccionamiento constantes. Pero como los DRP son de naturaleza más reactiva, se centran más en el análisis de riesgos y en la copia de seguridad y la recuperación de los datos. Los pasos 2 y 3 del desarrollo del DRP, el análisis de los riesgos y la creación de un inventario de activos, no forman parte en absoluto del proceso de desarrollo del BCP.
He aquí un proceso de cinco pasos ampliamente utilizado para crear un PRD:
1. Realizar un análisis de impacto empresarial
Al igual que en su proceso BCP, comience por evaluar cada amenaza a la que su empresa podría enfrentarse y cuáles podrían ser sus ramificaciones. Considere cómo podrían afectar las amenazas potenciales a las operaciones diarias, a los canales de comunicación habituales y a la seguridad de los trabajadores. Otras consideraciones para un BIA sólido incluyen la pérdida de ingresos, el coste del tiempo de inactividad, el coste de la reparación de la reputación (relaciones públicas), la pérdida de clientes e inversores (a corto y largo plazo) y las sanciones incurridas por infracciones de conformidad.
2. Analizar los riesgos
Los DRP suelen requerir una evaluación de riesgos más minuciosa que los BCP, ya que su función es centrarse en los esfuerzos de recuperación ante una posible catástrofe. Durante la parte de análisis de riesgos de la planificación, considere la probabilidad de un riesgo y el impacto potencial en su negocio.
3. Crear un inventario de activos
Para crear un DRP eficaz, debe saber exactamente qué posee su empresa, su propósito o función y su condición. Hacer un inventario regular de los activos ayuda a identificar el hardware, el software, la infraestructura de TI y cualquier otra cosa que su organización pueda poseer y que sea crucial para sus operaciones empresariales. Cuando haya identificado sus activos, puede agruparlos en tres categorías: críticos, importantes y sin importancia.
4. Establecer funciones y responsabilidades
Al igual que en el desarrollo de su BCP, tiene que definir claramente las responsabilidades y asegurarse de que los miembros del equipo tienen lo que necesitan para desempeñar las funciones que se les exigen. Sin este paso, que es vital, nadie sabe cómo actuar durante un desastre. Estas son algunas funciones y responsabilidades que debe tener en cuenta a la hora de crear su DRP:
5. Probar y perfeccionar
Al igual que su BCP, su DRP requiere práctica y perfeccionamiento constantes para ser eficaz. Practíquelo con regularidad y actualícelo en función de los cambios significativos que sean necesarios. Por ejemplo, si su empresa adquiere un nuevo activo después de haber formado su DRP, deberá incorporarlo a su plan para garantizar que esté protegido en el futuro.
En términos de planificación de BCDR, cada empresa tendrá su propio conjunto único de necesidades. Estos son algunos ejemplos de planes que son eficaces para empresas de diferentes tamaños y sectores:
Plan de gestión de crisis
Un plan de gestión de crisis, también conocido como plan de gestión de incidentes, es un plan detallado para gestionar un incidente específico. Proporciona instrucciones detalladas sobre cómo responde su organización a una crisis específica, como un corte de energía, un ciberataque o un desastre natural.
Plan de comunicaciones
Un plan de comunicaciones describe cómo su organización maneja las relaciones públicas (PR) en caso de desastre. Los líderes empresariales suelen coordinarse con especialistas en comunicaciones para formular planes de comunicación que complementen cualquier actividad de gestión de crisis necesaria para mantener las operaciones empresariales en marcha durante un incidente no planificado.
Plan de recuperación del centro de datos
Un plan de recuperación de un centro de datos se centra en la seguridad de las instalaciones de un centro de datos y en su capacidad para volver a funcionar después de un incidente no planificado. Algunas amenazas comunes para el almacenamiento de datos incluyen personal sobrecargado que puede resultar en errores humanos, ataques cibernéticos, cortes de energía y dificultad para cumplir con los requisitos de cumplimiento.
Plan de recuperación de red
Los planes de recuperación de red ayudan a las organizaciones a recuperarse de una interrupción de los servicios de red, incluido el acceso a Internet, los datos móviles, las redes de área local y las redes de área amplia. Debido al papel fundamental que desempeñan los servicios en red en las operaciones empresariales, los planes de recuperación de la red deben describir claramente los pasos, las funciones y las responsabilidades necesarias para restaurar los servicios de forma rápida y eficaz después de un compromiso de la red.
Plan de recuperación virtualizado
Un plan de recuperación virtualizado se basa en instancias de máquinas virtuales (VM) que pueden estar listas para funcionar un par de minutos después de una interrupción. Las máquinas virtuales son representaciones, o emulaciones, de ordenadores físicos que proporcionan recuperación de aplicaciones críticas mediante alta disponibilidad, o la capacidad de un sistema para funcionar continuamente sin fallar.
La planificación de BCDR ayuda a las organizaciones a comprender mejor las amenazas a las que se enfrentan y a prepararse mejor para afrontarlas. Las empresas que no planifican la BCDR se enfrentan a diversos riesgos, como la pérdida de datos, el tiempo de inactividad, las sanciones financieras y los daños a la reputación. Una planificación eficaz de BCDR ayuda a garantizar la continuidad del negocio y la rápida restauración de los servicios después de una interrupción del negocio. Estos son algunos de los beneficios de los que disfrutan las empresas con una sólida planificación de BCDR:
Cuando un incidente no planificado interrumpe la actividad habitual, puede costar cientos de millones de dólares. Además, los ciberataques de alto perfil suelen atraer la atención no deseada de la prensa y pueden provocar una pérdida de confianza tanto en los clientes como en los inversores. Los planes de BCDR aumentan la capacidad de una organización para volver a funcionar de manera rápida y fluida después de un incidente no planificado.
Según el reciente informe "Cost of a Data Breach" de IBM, el coste medio de una vulneración de datos en 2023 fue de 4,45 millones de USD, un 15 % más que en los tres años anteriores. Las empresas con una BCDR sólida pueden reducir esos costes ayudando a mantener la continuidad del negocio durante un incidente y acelerando la recuperación posterior. Otra oportunidad para ahorrar costes con una BCDR sólida es el ciberseguro. Muchas aseguradoras no aseguran a las organizaciones que no han establecido un plan BCDR sólido.
Las vulneraciones de datos incurren en fuertes multas cuando la información privada de los clientes se ve comprometida. Las empresas que operan en sectores muy regulados, como la sanidad y las finanzas personales, se enfrentan a sanciones especialmente costosas. Dado que estas sanciones suelen estar vinculadas a la duración y gravedad de una infracción, mantener la continuidad del negocio y acortar los ciclos de vida de respuesta y recuperación es fundamental para mantener bajas las sanciones financieras.
Incluso una interrupción menor puede ponerle en desventaja competitiva. Proteja sus datos con un plan de recuperación ante desastres en la nube.
Utilice un destino altamente duradero, escalable y seguro para realizar copias de seguridad de sus datos.
Amplíe la capacidad y consolide la infraestructura del centro de datos en un centro de datos definido por software automatizado y gestionado de forma centralizada con IBM Cloud for VMware Solutions.
IBM Cloud Backup es un completo sistema de copia de seguridad y recuperación basado en agentes que se gestiona a través de una interfaz web. Realice copias de seguridad de datos entre servidores de IBM Cloud en uno o varios centros de datos globales de IBM Cloud.