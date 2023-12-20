Publicado: 21 de diciembre de 2023
La recuperación ante desastres para la continuidad del negocio (BCDR) se refiere a un proceso que ayuda a las organizaciones a volver a las operaciones comerciales normales si ocurre un desastre. Si bien la continuidad del negocio y la recuperación ante desastres están estrechamente relacionadas, describen dos enfoques sutilmente diferentes para la gestión de crisis que las compañías pueden adoptar.
A medida que la prevención de pérdida de datos y el tiempo de inactividad se vuelven más costosos, muchas organizaciones están aumentando su inversión en gestión de emergencias. En 2023, las compañías de todo el mundo debían gastar 219 000 millones USD en ciberseguridad, un aumento del 12% con respecto al año anterior según un reporte reciente de International Data Corporation.
¿Qué es un plan de recuperación ante desastres?
Un plan de recuperación ante desastres (DRP) es un plan de contingencia sobre cómo una compañía se recuperará de un evento inesperado. Los DRP ayudan a las compañías a gestionar diferentes escenarios de desastres, como interrupciones masivas, desastres naturales, ataques de ransomware y malware , entre muchos otros.
¿Qué es un plan de continuidad de negocio?
Al igual que los DRP, los planes de continuidad del negocio (BCP) desempeñan un papel fundamental en la recuperación ante desastres y ayudan a las organizaciones a volver a las funciones comerciales normales cuando ocurre un desastre. Cuando un DRP se enfoca específicamente en los sistemas de TI, la gestión de la continuidad del negocio se enfoca más ampliamente en varios aspectos de la preparación.
La mayoría de las organizaciones dividen la planeación de BCDR en dos procesos separados: continuidad del negocio y recuperación ante desastres. Este enfoque es eficaz porque, si bien los dos procesos comparten muchos pasos, también existen diferencias clave en la forma en que las organizaciones crean, implementan y prueban los planes.
La principal diferencia es que los BCP son proactivos, con el objetivo de mantener las operaciones antes, durante y justo después de un desastre. Por otro lado, los DRP son reactivos y se centran en cómo responder y recuperarse de un incidente. Esta distinción debe guiar la creación de su estrategia de BCDR, con BCP centrados en procesos y roles críticos, y DRP en acciones de recuperación posteriores al incidente.
Ambos procesos dependen en gran medida de dos componentes críticos: el objetivo de tiempo de recuperación y el objetivo de punto de recuperación.
Objetivo de tiempo de recuperación (RTO)
El RTO se refiere a la cantidad de tiempo que lleva restaurar los procesos de negocio luego de un incidente no planeado. Establecer un RTO razonable es una de las primeras cosas que las compañías deben hacer cuando crean su DRP.
Objetivo de punto de recuperación (RPO)
El RPO de su negocio es la cantidad de datos que puede permitirse perder en un desastre y aún así recuperar. Dado que la protección de datos es una capacidad central de muchas empresas modernas, algunas copian constantemente los datos a un centro de datosremoto para garantizar la continuidad en caso de una violación masiva. Otros establecen un RPO de unos minutos, o incluso horas, para que recuperen los datos del negocio desde un sistema de backup, de modo que sepan que pueden recuperarse de lo que hayanperdido durante ese tiempo.
1. Realizar análisis de impacto empresarial
Para crear un BCP eficaz, primero debe comprender los diversos riesgos que enfrenta su organización. El análisis de impacto empresarial (BIA) es fundamental en la gestión de riesgos y la resiliencia empresarial. BIA es el proceso de identificar y evaluar el impacto potencial de un desastre en las operaciones normales. Strong BIA incluye una descripción general de todas las posibles amenazas y vulnerabilidades existentes, internas y externas, y planes detallados de mitigación. El BIA también debe identificar la probabilidad de que ocurra un evento para que la organización pueda priorizar en consecuencia.
2. Diseñe respuestas
Cuando su BIA esté completa, el siguiente paso en la creación de su BCP es planear respuestas efectivas a cada una de las amenazas que identificó. Las diferentes amenazas requieren naturalmente diferentes estrategias de recuperación ante desastres, por lo que cada una de sus respuestas debe tener un plan detallado sobre cómo la organización detectará una amenaza específica y la abordará.
3. Identificar roles y responsabilidades clave
Este paso determina cómo responden los miembros clave de su equipo cuando se enfrentan a una crisis o evento disruptivo. Documenta las expectativas de cada miembro del equipo y también los recursos necesarios para que cumplan con sus funciones. Esta parte del proceso sirve para considerar cómo se comunican las personas cuando ocurre un incidente. Algunas amenazas cierran redes clave, como la conectividad celular o por Internet, por lo que es importante contar con métodos de comunicación alternativos confiables.
4. Pruebe y actualice su plan
Para ser procesable, debe practicar y perfeccionar constantemente su plan de BCDR. Las pruebas y la capacitación constantes de los empleados conducen a un despliegue perfecto cuando ocurre un desastre real. Ensaye escenarios realistas como ciberataques, incendios, inundaciones, errores humanos, interrupciones masivas y otras amenazas relevantes para que los miembros del equipo puedan generar confianza en sus roles y responsabilidades.
Al igual que los BCP, los DRP requieren BIA (definición de funciones y responsabilidades, además de pruebas y refinamiento constantes). Pero debido a que los DRP son de naturaleza más reactiva, se centra más en el análisis de riesgos y la copia de seguridad y recuperación de datos. Los pasos 2 y 3 del desarrollo del DRP, el análisis de riesgos y la creación de un inventario de activos, no son parte en absoluto del proceso de desarrollo del BCP.
Este es un proceso de cinco pasos ampliamente empleado para crear un DRP:
1. Realizar el análisis del impacto en el negocio
Al igual que en su proceso de BCP, comience por evaluar cada amenaza que su compañía podría enfrentar y cuáles podrían ser sus ramificaciones. Considere cómo las amenazas potenciales podrían afectar las operaciones diarias, los canales de comunicación regulares y la seguridad de los trabajadores. Otras consideraciones para un BIA estable incluyen la pérdida de ingresos, el costo del tiempo de inactividad, el costo de la reparación de la reputación (relaciones públicas), la pérdida de clientes e inversionistas (a corto y largo plazo) y las sanciones incurridas por infracciones de incumplimiento.
2. Analizar los riesgos
Los DRP suelen requerir una evaluación de riesgos más cuidadosa que los BCP, ya que su función es centrarse en los esfuerzos de recuperación de un posible desastre. Durante la parte de análisis de riesgos de la planeación, considere la probabilidad de un riesgo y el impacto potencial en su negocio.
3. Crear un inventario de activos
Para crear un DRP eficaz, debe saber exactamente qué posee su compañía, su propósito o función y su condición. Hacer un inventario regular de activos ayuda a identificar hardware, software, infraestructura de TI y cualquier otra cosa que su organización pueda poseer y que sea crucial para sus operaciones comerciales. Cuando identificó sus activos, puede agruparlos en tres categorías: críticos, importantes y sin importancia.
4. Establecer roles y responsabilidades
Al igual que en el desarrollo de su BCP, debe definir claramente las responsabilidades y cerciorarse de que los miembros del equipo tengan lo que necesitan para realizar sus tareas requeridas. Sin este paso crucial, nadie sabe cómo actuar durante un desastre. Estos son algunos roles y responsabilidades que debe tener en cuenta al crear su DRP:
5. Probar y perfeccionar
Al igual que su BCP, su DRP requiere práctica y perfeccionamiento constantes para ser eficaz. Practíquelo de manera regular y actualícelo de acuerdo con los cambios significativos que sean necesarios. Por ejemplo, si su compañía adquiere un nuevo activo luego de formar su DRP, deberá incorporarlo a su plan para garantizar que esté protegido en el futuro.
En términos de planeación de BCDR, cada compañía tendrá su propio conjunto único de necesidades. Estos son algunos ejemplos de planes que son efectivos para compañías de diferentes tamaños e industrias:
Plan de gestión de crisis
Un plan de gestión de crisis, también conocido como plan de gestión de incidentes, es un plan detallado para gestionar un incidente específico. Proporciona instrucciones detalladas sobre cómo su organización responde a una crisis específica, como un corte de energía, un ataque cibernético o un desastre natural.
Plan de comunicación
Un plan de comunicación describe cómo gestiona su organización las relaciones públicas en caso de catástrofe. Los directivos de las compañías suelen coordinar con especialistas en comunicación para formular planes de comunicación que complementen cualquier actividad de gestión de crisis necesaria para mantener el funcionamiento de la compañía durante un incidente imprevisto.
Plan de recuperación del centro de datos
Un plan de recuperación del centro de datos se centra en la seguridad de las instalaciones de un centro de datos y su capacidad para volver a funcionar luego de un incidente no planeado. Algunas amenazas comunes para el almacenamiento de datos incluyen personal sobrecargado que puede provocar errores humanos, ataques cibernéticos, cortes de energía y dificultad para seguir los requisitos de cumplimiento.
Plan de recuperación de red
Los planes de recuperación de red ayudan a las organizaciones a recuperarse de una interrupción de los servicios de red, incluido el acceso a Internet, los datos celulares, las redes de área local y las redes de área amplia. Debido al papel fundamental que desempeñan los servicios en red en las operaciones comerciales, los planes de recuperación de red deben describir claramente los pasos, roles y responsabilidades necesarios para restaurar los servicios de manera rápida y eficaz luego de una vulneración de la red.
Plan de recuperación virtualizado
Un plan de recuperación virtualizado se basa en instancias de Virtual Machines (VM) que pueden estar listas para funcionar en un par de minutos luego de una interrupción. Las máquinas virtuales son representaciones, o emulaciones, de computadoras físicas que brindan recuperación de aplicaciones críticas a través de alta disponibilidad, o la capacidad de un sistema de operar continuamente sin fallar.
La planeación de BCDR ayuda a las organizaciones a comprender mejor las amenazas a las que se enfrentan y a prepararse mejor para enfrentarlas. Las compañías que no llevan a cabo la planeación de la BCDR se enfrentan a diversos riesgos, como la pérdida de datos, el tiempo de inactividad, las sanciones financieras y los daños a la reputación. La planeación eficaz de BCDR ayuda a garantizar la continuidad del negocio y la pronta restauración de los servicios luego de una interrupción del negocio. Estos son algunos de los beneficios que disfrutan las compañías con una estable planeación de BCDR:
Cuando un incidente no planeado interrumpe las actividades habituales, puede costar cientos de millones de dólares. Además, los ciberataques de alto perfil suelen atraer una atención no deseada en la prensa y pueden provocar la pérdida de confianza tanto de los clientes como de los inversionistas. Los planes de BCDR aumentan la capacidad de una organización para volver a funcionar de forma rápida y sin problemas luego de un incidente no planeado.
Según el reciente Informe del costo de la filtración de datos de IBM, el costo promedio de una filtración de datos en 2023 fue de 4.45 millones de dólares, un aumento del 15% con respecto a los tres años anteriores. Las compañías con una BCDR estable pueden reducir esos costos ayudando a mantener la continuidad del negocio durante un incidente y acelerando la recuperación posterior. Otra oportunidad para ahorrar costos con un BCDR estable es el seguro cibernético. Muchas aseguradoras no asegurarán a organizaciones que no hayan establecido un plan BCDR sólido.
Las filtraciones de datos incurren en multas cuantiosas cuando la información privada de los clientes se ve comprometida. Las compañías que operan en sectores muy regulados, como la atención médica y las finanzas personales, se enfrentan a sanciones especialmente costosas. Dado que estas sanciones a menudo están vinculadas a la duración y gravedad de una filtración, mantener la continuidad del negocio y acortar los ciclos de vida de respuesta y recuperación es fundamental para mantener bajas las sanciones financieras.
