¿Por qué contar con un Plan de Recuperación de Desastres?

En 2023, según un estudio de Cybersecurity Ventures, investigadora sobre seguridad de redes y sistemas informáticos, cada 39 segundos hubo un ciberataque, lo que representa más de 2.200 ciberataques al día en el mundo. 

Y esta realidad, de acuerdo con expertos en ciberseguridad entrevistados para el Estudio de Gestión de Riesgos en Latinoamérica 2024 que hicimos en Pirani, seguirá creciendo por mucho más tiempo porque los ciberdelincuentes siempre están evolucionando e innovando en sus técnicas de ataque. 

Frente a esto, cada vez es más necesario que las organizaciones de todas las industrias y tamaños se preparen lo mejor posible para enfrentar un ataque cibernético, por ejemplo de phishing, malware o ransomware pues hoy en día no basta con implementar acciones preventivas, hay que tener claridad sobre las acciones a ejecutar si se materializa este riesgo. 

Un elemento clave para dar respuesta oportuna y disminuir los impactos que puede generar un ciberataque es el Plan de Recuperación de Desastres, DRP por sus siglas en inglés de Disaster Recovery Plan. En este artículo te explicamos de qué se trata, por qué es importante tenerlo y qué elementos debería incluir este plan. 

¿Qué es el Plan de Recuperación de Desastres, DRP?

Lo primero que es importante saber es que en tecnología un desastre no solo tiene que ver con problemas de seguridad como ciberataques, también se consideran otros sucesos o problemas inesperados como cortes de energía, fenómenos naturales como terremotos, huracanes o incendios forestales, fallas en el sistemas, errores tecnológicos, entre otros. 

Por eso un Plan de Recuperación de Desastres o DRP debe servir para reponerse tanto ante un ataque cibernético como otro desastre que afecte negativamente la operación tecnológica y la continuidad. 

Un DRP se trata de una serie de procedimientos y estrategias que permiten a la organización, especialmente al área de tecnología, reanudar cuanto antes sus actividades luego de presentarse una interrupción. 

En otras palabras, es un documento formal que desarrolla la compañía con el fin de responder oportunamente a un desastre y minimizar el tiempo de inactividad y los impactos generados, además, es una parte fundamental del Plan de Continuidad de Negocio. 

Utilidad e importancia del DRP

Más allá de servir para que la organización restaure pronto sus operaciones y garantice la continuidad de sus procesos críticos, la implementación de un adecuado Plan de Recuperación de Desastres brinda otras utilidades y ventajas a todo tipo de empresas, por ejemplo puede ayudar a:

• Minimizar las pérdidas por inactividad.
• Reducir los costos de recuperación.
• Facilitar la toma de decisiones sobre qué se debe hacer.
• Responder rápidamente a las dudas de clientes y proveedores así como mejorar su retención.
• Asegurar el acceso a la información. 
• Proteger los activos críticos y asegurar la resiliencia frente a situaciones inesperadas. 

Por todo esto, y debido a que en la actualidad ninguna organización está exenta de sufrir un desastre (ciberataques, fallas en su infraestructura tecnológica, cortes de energía, etc.) es importante desarrollar de manera consciente este plan, esto significa que el DRP debe tener en cuenta la realidad y necesidades específicas de cada empresa, incluir todos los activos y explicar de forma clara cada una de las acciones a seguir (según el tipo de desastre) por todo el personal para así poder recuperarse rápidamente y reducir los impactos.

Elementos clave del Plan de Recuperación de Desastres 

Para que el DRP cumpla eficazmente con su objetivo, además de incluir todos los activos y enfocarse en la infraestructura tecnológica, es importante que considere elementos como:

• Evaluación de riesgos. Es clave evaluar de manera objetiva cada una de las potenciales amenazas y vulnerabilidades tecnológicas y conocer cuál sería el impacto que tendrían en la operación. 
  
  
• Objetivo de punto de recuperación (RPO) y objetivo de tiempo de recuperación (RTO). El RPO sirve para determinar la cantidad de datos que la organización puede aceptar perder durante un evento inesperado (desastre) y el RTO tiene que ver con la cantidad de tiempo que una aplicación, sistema o proceso puede estar inactivo sin causar un grave impacto a la empresa. Calcular estos dos objetivos es fundamental.

• Procedimientos y acciones de recuperación. El plan debe especificar detalladamente las medidas a seguir para la recuperación y restauración de los sistemas, datos y procesos críticos luego de presentarse un desastre. 
  
  
• Respaldo y recuperación de datos. Se deben documentar e implementar estrategias para el mantenimiento y respaldo periódico de los datos críticos y sistemas esenciales, además, incluir cómo se van a restaurar si hay un desastre, por ejemplo, un ciberataque.

• Infraestructura de respaldo. Es importante contar con lugares alternativos para poder operar si las instalaciones habituales se ven afectadas por un desastre. 

• Plan de comunicaciones. El DRP debe establecer instrucciones y recomendaciones claras y específicas sobre cómo informar oportunamente a los distintos grupos de interés (empleados, clientes, proveedores, inversionistas, comunidad, medios de comunicación) sobre la situación que se presente y el estado de la recuperación. Así mismo, debe definir las funciones y responsabilidades del personal. 

• Simulacros y mantenimiento. Es importante realizar de manera periódica pruebas al DRP para garantizar que sí sea efectivo en caso de activarlo, además, es necesario actualizarlo para que responda a los cambios que pueden haber en la infraestructura o en cuanto a las amenazas. 

• Capacitación y formación. Para que el plan sea ejecutado correctamente es fundamental darlo a conocer y socializarlo regularmente con todo el personal, que debe saber cómo actuar y qué papel cumplir si se materializa un desastre.

Cuéntanos, ¿en tu organización ya cuentan con un Plan de Recuperación de Desastres?