Guía Esencial

Navegue en las secciones

BACKGROUND IMAGE: Jeanette Dietl - stock.adobe.com

Este contenido es parte de Guía Esencial: Guía esencial para que (por fin) elabore su plan de DR y BC
Gestionar Aprenda a aplicar las mejores prácticas y optimizar sus operaciones.

Claves para una adecuada recuperación de desastres en la empresa

El éxito de una estrategia de recuperación de desastres y continuidad de negocios pasa por una adecuada prevención, monitoreo, automatización, pruebas y capacitación.

Cuando una empresa debe enfrentar algún incidente, se ponen a prueba sus políticas y procedimientos para asegurar la continuidad del negocio, y es una instancia crucial para ver qué tan preparados están sus directivos, el personal de TI y el equipo en general.

La realidad indica que la ventana de exposición frente a incidentes está en proceso de expansión. El tiempo de detección de un incidente es de, en promedio, 206 días, mientras que el tiempo de respuesta es de entre 21 y 35 días. Estos números reflejan que aún hay mucho por hacer para bajar tiempos, costos, evitar la exposición del negocio y mitigar los riesgos. Incluso, cerca del 70% de las empresas no prueban su plan de recuperación de desastres con suficiente frecuencia, ya sea por temas de personal, tiempo o incluso por el riesgo de que hacerlo pudiera afectar al servicio en producción.

Hernán Roth

“En general, la mayoría de las empresas tienen resuelto el tema de respaldos y replicación de datos hacia centros alternos de alguna forma. Pero cuando queremos dormir tranquilos, no basta con garantizar que los datos estarán disponibles. La cuestionable disponibilidad de personal experto en diversas especialidades –como almacenamiento, cómputo, aplicación, redes, por ejemplo– trabajando en forma coordinada para reestablecer los servicios bajo presión ante las fallas (a veces poco previsibles y en momentos potencialmente poco oportunos) pone de manifiesto la necesidad de contar con un monitoreo profundo, y sobre todo, con una automatización de procesos de recuperación de desastres que garanticen un resultado esperable, acorde a los niveles de servicio estipulados, con mínima intervención humana. Probar el proceso de forma rutinaria es fundamental, ya que el dinamismo y nivel de cambios que sufren las aplicaciones de negocio en el día a día es un típico factor de fallas inesperadas al momento de un incidente”, explicó Hernán Roth, director de ingeniería y servicios de tecnología de Veritas.

Hace falta una cultura de continuidad

Según los datos del Indicador Digital de Seguridad para América Latina, elaborado por IDC y Fortinet, más de un 50% de las empresas de la región se encuentran en un estado "conservador", lo que implica que no tienen necesariamente los elementos de madurez necesarios en cuanto a procesos, personal o elementos tecnológicos para responder adecuadamente ante una disrupción.

Martín Hoz

Esto no quiere decir que las empresas no tengan elementos para enfrentar una interrupción al negocio, pero en países como Chile, por ejemplo, es común que las organizaciones –desde la mediana empresa, hasta la gran corporación– tengan prácticas y tecnologías pensadas para tener continuidad ante desastres naturales o ataques informáticos, con una preparación encaminada hacia la prevención, evitando que la infraestructura pare de funcionar, comentó Martín Hoz, gerente de ingeniería de Fortinet para América Latina.

Este tipo de estrategias no suele contemplar escenarios “donde la infraestructura para de funcionar, donde las comunicaciones están detenidas o donde existe alguna falla que evita el procesamiento. No existe una cultura de simulacros ante caídas en los sistemas y servicios, como sí existen simulacros de incendio y temblor”, ni responsables de coordinar la continuidad, ni auditorías para los planes de contingencia ante el impacto a un proceso de negocio crítico para la organización, dijo el experto.

Por ello, el presupuesto para asegurar esta continuidad es poco o nulo. “Esto se refleja en la cantidad de organizaciones que operan con elementos de control (firewalls, balanceadores/ADC) o de inspección (IPS, antivirus o sandboxing), sin alta disponibilidad, en ambientes donde está pasando tráfico que, de verse interrumpido, dejaría expuesto el ambiente a ataques de robo de información o implicaría el paro de servicios e información comprometida”, enfatizó Hoz.

Para Cristian González Núñez, ejecutivo de ventas para Global Sales LACSA de Unisys, la forma en que una empresa se enfrentará a una situación de DR dependerá de cómo las personas, procesos y recursos del departamento de TI están preparados. El ejecutivo dijo que, si bien, los CIO son conscientes de las consecuencias de una interrupción no planificada, en la mayoría de los casos no pueden implementar un entorno DR por restricciones del presupuesto.

Cristian González Núñez

“Hoy la mayoría de empresas requiere estar cerca del 100% de disponibilidad, pero tres de cada cuatro empresas de todo el mundo están poniendo sus operaciones comerciales en riesgo por no estar adecuadamente preparadas para recuperar los sistemas de TI en caso de un desastre. Las principales causas del fracaso de un proceso de DR son, primero, la falta de planificación de recuperación de desastres. Es decir, no tener un panorama claro de las dependencias de las aplicaciones, ni un plan de DR plenamente documentado. También la falta de pruebas de DR, pues se planean solo una o dos veces al año, o nunca se realizan pruebas de los planes de DR. Además, sin comprobación ni verificación de los planes de DR, la mayoría de las empresas no tienen ni idea de si se puede recuperar totalmente sus sistemas de TI en caso de un desastre o una interrupción prolongada. Finalmente, la falta de recursos”, dijo González.

Pruebas y práctica, las mejores recomendaciones

Si bien los expertos coinciden en que, en caso de crisis, la única prioridad es encontrar una salida y, más adelante, aprender la lección y actuar en consecuencia, Roth, de Veritas, dijo que en DR hay que aplicar la frase: “La suerte favorece a quien está preparado”. 

En ese sentido, su principal consejo es pensar en el proceso de la recuperación de punta a punta, no en partes inconexas, minimizando la intervención humana mediante tecnología que permita identificar la falla de forma rápida y  automatizar el restablecimiento del servicio ante cualquier condición, y que, además, permita una prueba proactiva no-disruptiva frecuente (semanal o incluso diaria) incluso en sitios alternos.

Cristian López Urbina

“El servicio de negocio debe verse como una entidad, de forma que, ante una eventual falla de una capa determinada de la aplicación, las otras capas actúen en sintonía. Muchas veces, cada elemento o capa parece estar funcional cuando es analizado por separado, pero el conjunto no funciona por alguna falta de coordinación, y al final del día, el servicio del negocio no continúa. Cada empresa sabrá hasta dónde precisa llegar en términos de preparación contra desastres. Tener datos actualizados en un centro alterno no implica una recuperación rápida ni predictible; es solo el comienzo en el camino de preparase. Automatizar los procesos de DR es importante ante la presión de los niveles de servicio. Probar proactivamente (y sin impacto a la producción) reduce costos y nos da la garantía de confiabilidad. Y, de ser necesario, tener visibilidad proactiva sobre los riesgos ocultos en mi infraestructura, antes de que ellos se manifiesten”, dijo Roth.

Para González, de Unisys, la recomendación es clara: el plan de recuperación y los procesos de restauración deben ser practicados y ajustados para asegurarse de que funcionan según lo previsto. “Las regulaciones pueden obligar a realizar ejercidos de contingencia periódicamente, pero, incluso si no hay reglas o requisitos legales, el proceso aún debe ser ejecutado con regularidad. Los altos niveles de automatización hacen los ensayos frecuentes mucho más fácil. Y en lugar de intercambiar entre los centros de producción y de contingencia, una alternativa es que todos los centros de datos puedan ejecutar el trabajo de producción”, dijo

Ignacio Conti

Cristián López Urbina, gerente de la Unidad Cloud de In Motion, coincidió en que lo primero es probar y ejecutar el plan de recuperación, al menos dos veces por año. “Por sobre todo, haber probado los casos en los que eventualmente exista pérdida de información, para tener claro cómo actuar para evitar la duplicidad de registro o el descuadre de saldos. Es importante siempre contar con servicios de contingencia que permitan mantener la información replicada para, idealmente, seguir operando con esta infraestructura, que tal vez no esté preparada para soportar toda la carga, pero sí  toda la información”, dijo. Además, indicó que con la nube, contar con un plan de continuidad de negocios y de recuperación de desastres ya no es exclusivo de grandes empresas.

Roth, de Veritas, dijo que las opciones de nube híbrida y la recuperación de desastres como servicio es sin duda el futuro en esta área. Pero, independientemente de la elección de infraestructura o plataforma, la empresa debe contar con tecnología que le permita mantener el control y el dominio sobre sus aplicaciones, para beneficiarse económicamente de esas opciones sin sacrificar la confiabilidad o predictibilidad del servicio del negocio.

Además, se debe elaborar un plan de DR para todo, incluyendo aplicaciones, redes y repositorios de documentos o servicios de negocios. Este debe definir los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO) para aplicaciones críticas. “Sin estos indicadores importantes, no se puede establecer expectativas adecuadas y suposiciones de la gerencia, empleados y clientes acerca de sus capacidades de DR y cómo mejorarlas”, afirmó González.

Finalmente, Ignacio Conti, regional manager de Blue Coat Systems, resaltó que no se debe olvidar la capacitación de los usuarios sobre los riesgos asociados, así como al personal encargado del reforzamiento de las políticas establecidas.

“Es importante contar con una supervisión continúa de los procesos de seguridad, tomando en cuenta los cambios necesarios, para que estén siempre alineados a las iniciativas del negocio. Y realizar una revisión continua de los proveedores de tecnología que mejor se adapten a las necesidades de continuidad y a las iniciativas de negocio, a fin de permitir la agilidad de las iniciativas de negocio y protección de la información crítica para la empresa”, concluyó Conti.

Próximos pasos

Más sobre recuperación de desastres:

La mejora continua de procesos es importante para BC/DR

¿Es la replicación basada en software mejor para su configuración de DR?

¿Pueden los clusters de conmutación por error ofrecer BC/DR instantánea? No tan rápido

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close