Pequeños “desastres”, como el robo de un portátil o la
pérdida de un disco duro, han dejado a muchas personas “con los pelos de
punta”. La pérdida de información es un tema que causa varios problemas, pero
no siempre se considera cuando pensamos en protección y seguridad.
Cuando esto se extrapola a la realidad del mercado, la
necesidad de prevención se vuelve aún más evidente. En un contexto donde las
tecnologías de la información son fundamentales para las empresas y sus
negocios, la pérdida de información o la imposibilidad de operar por la
indisponibilidad de la infraestructura TI es un desastre elevado a su máxima
potencia.
A pesar de la connotación trágica, pueden ocurrir
incidentes. Y, para llevar seguridad a las operaciones , las áreas de TI deben
abordar políticas de recuperación ante desastre (DR) o desastres .
¿Aún no sabes qué es DR o por qué diseñar un plan de
recuperación ante desastres? ¡Mira este contenido y aprende más sobre el
concepto!
¿Qué es la recuperación ante desastres?
La Recuperación ante Desastres se caracteriza por acciones o
planes destinados a recuperarse de desastres , y ocurre a través de
procedimientos que deben aplicarse siempre que amenazas (como incendios,
inundaciones, vandalismo, sabotaje, huracanes, tormentas de viento u otros
incidentes) comprometan las operaciones de USTED.
La recuperación ante desastres tiene como objetivo
restablecer los servicios, al menor costo y con los menores impactos posibles ,
en un espacio de tiempo aceptable para el negocio de la empresa.
¿Cómo funciona un DRP?
Un Plan de recuperación ante desastres es un proceso o flujo de trabajo que nos permite realizar la recuperación de los datos, ya sean de soluciones físicas o software, para que la empresa pueda comenzar nuevamente a funcionar después de un desastre natural, error humano o, como vemos hoy en día, ataques hacia los sistemas con ransomware.
Es necesario mantener un Plan de recuperación ante desastres actualizado y comunicado con todas las áreas claves de la empresa, manteniendo una constante capacitación al personal en caso de que alguna amenaza ataque directamente los sistemas de TI.
Por lo general, un Plan de recuperación ante desastres funciona de la siguiente forma:
¿Y qué se puede considerar un desastre?
Al contrario de lo que se podría imaginar, existen varios
hechos que pueden provocar problemas en el buen funcionamiento de una empresa.
La muerte del 11 de septiembre en Nueva York, por ejemplo, impactó al mundo
entero en varios aspectos y demostró que las empresas deben preocuparse incluso
por lo impensable.
Además, quien no se acuerda del Día del padre.16 de junio de 2019 o del 1 de marzo de 2023, por ejemplo, Donde Argentina enfrentó problemas con su suministro de electricidad (los 2 apagones más grandes de la última década en la Argentina, donde millones de personas de diferentes provincias se quedaron sin luz durante horas). Una situación un tanto atípica que, al durar más de lo previsto, podría poner en riesgo distintos servicios informáticos.
Por lo tanto, un buen plan de recuperación ante desastres
debe tener en cuenta diferentes tipos de amenazas , incluso si parecen poco
probables. Vea algunos ejemplos de “desastres”:
- Desastres naturales (terremotos, inundaciones y otros problemas causados por cuestiones climáticas);
- Error humano;
- Robos;
- Ataques cibernéticos, como malware o ransomware;
- Cortes de energía;
- Accidentes industriales;
- Epidemias o pandemias;
- Ataques terroristas o bioquímicos;
- Accidentes o fallas de equipos.
Diferentes tipos de "desastres" pueden provocar la
pérdida de datos. Por eso es importante tener un plan para remediarlo.
¿Cómo hacer un plan de recuperación ante desastres?
Para establecer una estrategia de recuperación ante
desastres es necesario evaluar las necesidades involucradas en la continuidad
del negocio de su organización, El DRP requiere de dos actividades previas:
- (BIA – Business Impact Analysis o Análisis de Impacto de Negocio) donde la directiva de la organización identificará los procesos mas criíticos, el impacto de un incidente sobre estos y así establecer las lineas rojas: el tiempo de inactividad de los servicios (RTO) y el umbral de perdida de datos (RPO)
- (RA – Risk Assessment o Análisis de Riesgo), donde se obtendrán los principales escenarios de riesgo a tratar en el DRP.
Objetivo de tiempo de recuperación (RTO) :
Determina el momento ideal , después de la interrupción de
los servicios, para el restablecimiento del proceso empresarial.
Para las empresas minoristas, por ejemplo, si ocurre un
desastre que derribe su e-commerce (comercio electrónico), el tiempo de
respuesta es sumamente relevante. Por lo tanto, es importante fortalecer el RTO
y determinar cuánto tiempo después de la interrupción el servicio debería estar
disponible nuevamente.
Objetivo de punto de recuperación (RPO) :
Determina la cantidad aceptable de pérdida de datos medida
en el tiempo , hasta que ocurre el desastre y se interrumpen los servicios.
Indica el punto de restauración o la antigüedad de los archivos necesarios para
restaurar las operaciones normales. Para una empresa del sector financiero, por
ejemplo, este objetivo tiende a ser cero.
Además de la pérdida directa de datos, el tiempo de
inactividad de la infraestructura también puede causar graves impactos en las
operaciones de una empresa. Una empresa financiera que ofrece como servicio la
venta con tarjeta, por ejemplo, tiene un costo promedio por hora de
interrupción del servicio de US$ 3,1 millones.
Principales estrategias para la recuperación de desastres
Con la digitalización de los negocios y la creciente
preocupación por la continuidad de los servicios TI, la nube se ha convertido en un gran aliado en
los planes de recuperación ante desastres.
Por su costo accesible, elasticidad instantánea y múltiples
ubicaciones, ofrece las condiciones y seguridad tan deseadas por los gerentes
de TI. Además, la nube también ofrece alternativas para cada modelo de negocio
y necesidad de dar respuesta a objetivos de tiempo y punto de recuperación.
Después de evaluar su modelo de negocio y establecer los
objetivos de recuperación ante desastres que son más relevantes para la
seguridad de su operación, necesita comprender qué estrategias de recuperación
ante desastres están disponibles. De esta manera podrás identificar cuál es
mejor para tu empresa.
Una de las herramientas más utilizadas para un Plan de
Recuperación ante Desastres es la nube.
Disaster Recovery Backup Off-site
En este modelo, los datos de la empresa se almacenan como
copia de seguridad en la nube . En caso de fallos en el entorno de producción,
estos datos se utilizan para crear nuevos servidores, normalmente a través de
imágenes de servidor.
Este modelo tiene el mejor costo , refiriéndose sólo a la
copia de seguridad, pero requiere el mayor tiempo de recuperación.
Disaster Recovery Pilot Light
En esta estrategia, un servidor se mantiene activo como
réplica de la base de datos y los demás servidores se apagan.
En caso de fallas en el centro de datos principal, los
servidores se encienden y el servidor de la base de datos aumenta para soportar
el tráfico de la aplicación.
Disaster Recovery Multi-site
En esta estrategia, el centro de datos convencional se
replica completamente en la nube , con todos los servidores conectados y
recibiendo tráfico de aplicaciones. Así, ambos entornos operan en producción y,
en caso de que uno de ellos falle, el otro se hace cargo del tráfico y es capaz
de soportar toda la carga de aplicaciones.
Este es el modelo de mayor coste , pero tiene el mejor
tiempo de recuperación , tendiendo a cero.
Agent Replication
Se utilizan herramientas de replicación de datos a nivel de
bloque que, instaladas en servidores locales, replican los datos a la nube
prácticamente en tiempo real . La herramienta también organiza el proceso de
prueba del entorno de recuperación ante desastres, facilitando el
procedimiento.
Esta estrategia se recomienda para una replicación
transparente del entorno, ya que brinda comodidad en el proceso de recuperación
ante desastres, sin tener que tener servidores ejecutándose en la nube
innecesariament
No hay comentarios.:
Publicar un comentario