Por Sergio Solís Garza
Cuando se menciona en una empresa el concepto “Plan de Recuperación de Desastres” (Disaster Recovery Plan), se suelen escuchar comentarios como “nunca lo hemos necesitado”, “es algo muy costoso y no tiene retorno de inversión” y uno de los más peligrosos “ya tenemos forma de recuperarnos: contamos con respaldos de información”. Si uno o más de los anteriores te suena familiar, no te preocupes, no eres el único que enfrenta esta situación; lo importante ahora es saber cómo superarlas.
Un plan de recuperación de desastres debe ser diseñado para rescatar las capacidades suficientes de las tecnologías de información (TI) que soportan la operación de los procesos críticos del negocio; es por ello que no puede verse desde una perspectiva independiente, y debe ser parte de un plan de continuidad de operaciones del negocio (BCP, por sus siglas en inglés: “Business Continuity Plan”).
Llevar una iniciativa de recuperación de desastres no es algo trivial, sin embargo, dentro de su complejidad puede tener distintos enfoques de solución; a continuación, sugiero una ruta crítica de atención para llevar la iniciativa dentro de la empresa.
1. Crear conciencia en la organización. La continuidad del negocio ha sido una de las principales preocupaciones para las empresas en todos los sectores de industria1, sin embargo, sigue existiendo una brecha importante en los comités directivos de las empresas respecto al nivel de conciencia sobre los riesgos que enfrentan ante un escenario de desastre.
2. Entender el negocio. Conocer el sector de industria, la estrategia del negocio, sus procesos de operación, la infraestructura que los soporta y la gente que los habilita es imprescindible para darle forma a esta iniciativa. No debe delegarse el 100% de esta labor a un asesor externo; el negocio debe ser parte de la iniciativa.
3. Analizar el riesgo e identificar los posibles impactos. Identificar las amenazas que existen sobre los activos críticos de la organización. Considera todos los posibles eventos que puedan impactar y determina qué tan vulnerable es ante cada uno de ellos. Involucra a los dueños de los procesos para que ayuden a cuantificar los impactos financieros, en caso de que se interrumpa la operación es necesario ponderar los intangibles (imagen, confianza, etc.)
4. Seleccionar una estrategia. Analiza el costo-beneficio de los posibles escenarios de recuperación ante un desastre y elige aquél que te otorgue un mejor balance entre el costo por interrupción y el costo de recuperación (ver gráfico 1).
5. Planear en detalle. Una vez obtenido el visto bueno del negocio sobre su estrategia, documenta planes para administrar la crisis inicial y para la respuesta de las áreas de negocio; en lo referente al DRP, documenta planes con el suficiente detalle para que puedan ser ejecutados por cualquier persona del equipo de recuperación, recuerda que en un desastre se pueden ver afectadas personas con conocimiento critico de la operación.
6. Desplegar el plan. Capacita al personal que estaría involucrado en la ejecución, cuidando la confidencialidad de los datos sensibles y dando a conocer sólo lo requerido por cada equipo. Realiza pruebas parciales e integrales y ajusta los planes si fuera necesario.
7. Crear un marco sustentable. Un plan seguirá siendo útil mientras funcione, y eso depende de su actualización acorde a los cambios que se vayan dando en la estrategia del negocio y los componentes que cubre.
El tema es muy amplio, pero puedo decir con seguridad que, atendiendo la ruta mencionada, se augura una mayor probabilidad de éxito en este tipo de iniciativas.
1 Encuesta global de Seguridad de Información de EY
2Manual de preparación para exámen CISA, ISACA 2014
