Cómo crear una estrategia eficaz de recuperación ante desastres
19 de enero de 2024
Lectura de 6 minutos

Ya sea que su industria se enfrente a desafíos de conflictos geopolíticos, las consecuencias de una pandemia global o la creciente agresión en el espacio de la ciberseguridad, el vector de amenazas para las empresas modernas es innegablemente poderoso. Las estrategias de recuperación ante desastres proporcionan el marco para que los miembros del equipo vuelvan a poner en marcha una empresa luego de un evento no planeado.

En todo el mundo, es comprensible que aumente la popularidad de las estrategias de recuperación ante desastres. El año pasado, las empresas gastaron 219 000 millones de dólares solo en ciberseguridad y soluciones, un aumento del 12 % con respecto a 2022, según un informe reciente de International Data Corporation (IDC) (enlace externo a ibm.com).

Una estrategia de recuperación ante desastres establece cómo responderán sus empresas a una serie de incidentes no planeados. Las estrategias sólidas de recuperación ante desastres consisten en planes de recuperación ante desastres (planes DR), planes de continuidad de negocio (BCP) y planes de respuesta a incidentes (IRP). En conjunto, estos documentos ayudan a garantizar que las empresas estén preparadas para enfrentar una variedad de amenazas, incluidos cortes de energía, ataques de ransomware y malware , desastres naturales, entre otras.

¿Qué es un plan de recuperación ante desastres (DRP)?

Los planes de recuperación ante desastres (DRP) son documentos detallados que describen cómo responderán las empresas a diferentes tipos de desastres. Por lo general, las empresas crean DRP por sí mismas o subcontratan su proceso de recuperación ante desastres a un proveedor externo de DRP. Junto con los planes de continuidad de negocio (BCP) y los planes de respuesta a incidentes (IRP), los DRP desempeñan un papel crítico en la eficacia de la estrategia de recuperación ante desastres.

¿Qué son los planes de continuidad de negocio y los planes de respuesta a incidentes?

Al igual que los DRP, los BCP y los IRP son partes de una estrategia de recuperación ante desastres más amplia en la que una empresa puede confiar para ayudar a restablecer las operaciones normales en caso de un desastre. Los BCP generalmente adoptan una visión más amplia de las amenazas y las opciones de resolución que los DRP, centrándose en lo que una empresa necesita para restaurar la conectividad. Los IRP son un tipo de DRP que se centra exclusivamente en ciberataques y amenazas a los sistemas de TI. Los IRP describen claramente la respuesta de emergencia en tiempo real de una organización desde el momento en que se detecta una amenaza hasta su mitigación y resolución. 

Por qué es importante tener una estrategia de recuperación ante desastres

Los desastres pueden afectar a las empresas de diferentes maneras, causando todo tipo de problemas complejos. Desde un terremoto que afecta la infraestructura física y la seguridad de los trabajadores hasta una interrupción de los servicios en la nube que cierra el acceso al almacenamiento de datos confidenciales y a la atención al cliente, contar con una estrategia sólida de recuperación ante desastres ayuda a garantizar que las empresas se recuperen rápidamente. Estos son algunos de los mayores beneficios de desarrollar una estrategia sólida de recuperación ante desastres:

  • Mantener la continuidad de negocio: la continuidad de negocio y la recuperación ante desastres para la continuidad de negocio (BCDR) ayudan a garantizar que las organizaciones retomen las operaciones normales luego de un evento no planeado, proporcionando protección de datos, copia de seguridad de datos y otros servicios críticos.
  • Reducción de costos: según el reciente Informe del costo de una filtración de datos de IBM, el costo promedio de una filtración de datos en 2023 fue de 4.45 millones de dólares, un aumento del 15 % en los últimos 3 años. Las empresas que no cuentan con estrategias de recuperación ante desastres se arriesgan a costos y sanciones que podrían superar con creces el dinero ahorrado al no invertir en la solución.
  • Menos tiempo de inactividad: las empresas modernas dependen de tecnologías complejas, como soluciones de infraestructura basadas en la nube y redes celulares. Cuando un incidente imprevisto interrumpe las operaciones de una empresa, puede costar millones. Además, el alto perfil de los ciberataques, los largos periodos de inactividad o las interrupciones relacionadas con errores humanos pueden provocar la huida de clientes e inversionistas.
  • Mantenimiento del cumplimiento: las empresas que operan en sectores con muchas regulaciones, como la atención médica y las finanzas personales, enfrentan elevadas multas y sanciones por filtraciones de datos debido a la naturaleza crítica de los datos que gestionan. Contar con una sólida estrategia de recuperación ante desastres ayuda a acortar los procesos de respuesta y recuperación luego de un incidente no planeado, lo que es crítico en sectores donde el monto de la sanción financiera a menudo está vinculado a la duración de la filtración.
Cómo funcionan las estrategias de recuperación ante desastres

Las estrategias de recuperación ante desastres más sólidas preparan a las empresas para enfrentar una amplia variedad de amenazas. Una plantilla estable para restaurar las operaciones normales puede ayudar a generar confianza en los inversionista y clientes, y aumentar la probabilidad de que se recupere de cualquier amenaza que enfrente su empresa. Antes de entrar en los componentes reales de las estrategias de recuperación ante desastres, veamos algunos términos clave.

  • Failover/Failback: el failover es un proceso ampliamente utilizado en la recuperación ante desastres de TI, donde las operaciones se trasladan a un sistema secundario cuando falla uno primario debido a un corte de energía, ciberataque u otra amenaza. El failback es el proceso de volver al sistema original una vez que se restauraron los procesos normales. Por ejemplo, una empresa podría realizar un failover desde su centro de datos a un sitio secundario donde un sistema redundante se activará instantáneamente. Si se ejecuta correctamente, el failover/failback puede crear una experiencia perfecta en la que un usuario/cliente ni siquiera es consciente de que se está trasladando a un sistema secundario.
  • Objetivo de tiempo de recuperación (RTO): el RTO se refiere a la cantidad de tiempo que lleva restaurar las operaciones comerciales luego de un incidente no planeado. Establecer un RTO razonable es una de las primeras cosas que las empresas deben hacer cuando crean su estrategia de recuperación ante desastres.
  • Objetivo de punto de recuperación (RPO): el RPO de su empresa es la cantidad de datos que puede permitir perder y aún así recuperar. Algunas empresas copian constantemente datos a un centro de datos remoto para garantizar la continuidad. Otros establecen un RPO tolerable de unos minutos (o incluso horas) y saben que podrán recuperar de lo que se perdió durante ese tiempo.
  • Recuperación ante desastres como servicio (DRaaS): DRaaS es un enfoque de recuperación ante desastres que fue ganando popularidad debido al creciente conocimiento sobre la importancia de la seguridad de los datos. Las empresas que adoptan un enfoque DRaaS para la recuperación ante desastres esencialmente están subcontratando sus planes de recuperación ante desastres (DRP) a un tercero. Este tercero aloja y gestiona la infraestructura necesaria para la recuperación, luego crea y gestiona planes de respuesta, y garantiza una rápida reanudación de las operaciones críticas para el negocio. Según un informe reciente de Global Market Insights (GMI) (enlace externo a ibm.com), el tamaño del mercado de DRaaS fue de 11 500 millones de dólares en 2022 y se estima que crecerá en un 22 % en los próximos años.
Cinco pasos para crear una estrategia sólida de recuperación ante desastres

La planeación de la recuperación ante desastres comienza con un análisis profundo de sus procesos empresariales más críticos, conocido como análisis de impacto empresarial (BIA) y evaluación de riesgos (RA). Si bien cada empresa es diferente y tendrá requisitos únicos, hay varios pasos que puede seguir, independientemente de su tamaño o industria, que le ayudarán a garantizar una planeación eficaz de la recuperación ante desastres.

Paso 1: Realizar un análisis del impacto empresarial

El análisis de impacto empresarial (BIA) es una evaluación cuidadosa de cada amenaza que enfrenta su empresa, junto con los posibles resultados. Un BIA sólido examina cómo las amenazas podrían afectar las operaciones diarias, los canales de comunicación, la seguridad de los trabajadores y otras partes críticas de su negocio. Algunos ejemplos de algunos factores a tener en cuenta al realizar un BIA incluyen la pérdida de ingresos, la duración y el costo del tiempo de inactividad, el costo de la reparación de la reputación (relaciones públicas), la pérdida de confianza del cliente o inversionista (a corto y largo plazo) y cualquier sanción que pueda enfrentar debido a violaciones de cumplimiento causadas por una interrupción.

Paso 2: Realizar un análisis de riesgos

Las amenazas varían mucho según su industria y el tipo de negocio que maneja. Realizar un análisis de riesgos (RA) sólido es un paso crítico en la elaboración de su estrategia. Puede evaluar cada amenaza potencial por separado considerando dos aspectos: la probabilidad de que ocurra y su impacto potencial en las operaciones comerciales. Hay dos métodos ampliamente empleados para esto: el análisis de riesgos cualitativo y cuantitativo. El análisis de riesgos cualitativo se basa en el riesgo percibido y el análisis cuantitativo se realiza mediante datos verificables.

Paso 3: Crear su inventario de activos

La recuperación ante desastres se basa en tener una imagen completa de cada activo que posee su empresa. Esto incluye hardware, software, infraestructura de TI, datos y cualquier otro aspecto que sea crítico para las operaciones de su negocio. Estas son tres etiquetas ampliamente utilizadas para categorizar sus activos:

  • Críticos: solo etiquete los activos críticos si son necesarios para las operaciones comerciales normales.
  • Importantes: asigne esta etiqueta a los activos que su empresa utiliza al menos una vez al día y, si se interrumpen, tendría un impacto en las operaciones comerciales (pero no los cerrarían por completo).
  • Sin importancia: estos son activos que su negocio utiliza con poca frecuencia y que no son esenciales para las operaciones normales del negocio.

Paso 4: Establecer roles y responsabilidades 

Claramente, asignar roles y responsabilidades podría ser la parte más importante de una estrategia de recuperación ante desastres. Sin ella, nadie sabrá qué hacer en caso de desastre. Si bien los roles y responsabilidades reales varían mucho según el tamaño de la empresa, la industria y el tipo de negocio, hay algunos roles y responsabilidades que toda estrategia de recuperación debe contener:

  • Reportero de incidentes: una persona que es responsable de comunicarse con los stakeholders y las autoridades pertinentes cuando ocurren eventos disruptivos, y de mantener actualizada la información de contacto de todas las partes relevantes.
  • Gerente del plan de recuperación ante desastres: su gerente de DRP garantiza que los miembros del equipo de recuperación ante desastres realicen las tareas que se les asignaron y que la estrategia que implemente funcione sin problemas. 
  • Administrador de activos: debe asignar a alguien la función de asegurar y proteger los activos críticos cuando ocurre un desastre e informar sobre su estado durante todo el incidente.

Paso 5: Probar y perfeccionar

Para garantizar la solidez de su estrategia de recuperación ante desastres, deberá ponerla en práctica constantemente y actualizarla con regularidad en función de cualquier cambio significativo. Por ejemplo, si su empresa adquiere nuevos activos luego de la formación de su estrategia de DRP, será necesario integrarlos en su plan para garantizar su protección en el futuro. Las pruebas y el perfeccionamiento de su estrategia de recuperación ante desastres se pueden desglosar en tres sencillos pasos:

  1. Cree un simulacro preciso: cuando ensaye su DRP, intente crear un entorno lo más parecido al escenario real al que se enfrentará su empresa sin poner a nadie en riesgo físico.
  2. Identifique problemas: utilice el proceso de pruebas de DRP para identificar fallas e incongruencias con su plan, simplificar los procesos y abordar cualquier problema con sus procedimientos de copia de seguridad.
  3. Pruebe sus procedimientos de recuperación ante desastres: ver cómo va a responder a un incidente es vital, pero es igual de importante probar los procedimientos que puso en marcha para restaurar los sistemas críticos una vez que el incidente terminó. Pruebe cómo volverá a activar las redes, recuperar los datos perdidos y reanudar el funcionamiento normal de la empresa. 
Soluciones de recuperación ante desastres

Las empresas modernas dependen más que nunca de la tecnología para atender a sus clientes. Incluso las interrupciones menores pueden causar un tiempo de inactividad crítico y afectar la confianza de los clientes e inversionistas. IBM FlashSystem Cyber Recovery Guarantee está diseñada para cualquier persona que compre un nuevo FlashSystem Array con IBM Storage Expert Care e IBM Storage Insights Pro.

Autor
Mesh Flinders Writer