¿Cuál es el proceso adecuado en la recuperación de la información?

“Mi empresa no está preparada para sobrevivir a un desastre que afecte a la disponibilidad y al acceso a la información crítica”.

Entonces, es el momento de actuar. La pérdida de información puede ser ocasionada por un incidente de ciberseguridad (fallo del hardware, error humano, robo) o por un desastre (apagón, terremoto, inundación). Las características de las infraestructuras IT actuales han hecho del proceso de recuperación de la información un paso cada vez más importante a la vez que complejo.

Sin embargo, lo más grave no es perder la información de la empresa, sino las consecuencias que esto puede acarrear: interrupción del servicio, pérdidas económicas, efectos legales, pérdida de la confianza depositada por los clientes durante años, etc.

Nuestra intención en este post es contarte cuál es el proceso adecuado en la recuperación de la información. ¿Nos acompañas?

10 pasos para recuperar la información de tu empresa

9 de la mañana. Acudes a tu oficina y descubres que la infraestructura IT de tu empresa ha sufrido una avería que impide el acceso a los datos almacenados en el sistema informático. ¿Qué haces?

Toma nota de estos puntos, porque vamos a contarte cómo realizar un plan de recuperación de desastres:

• Realización del inventario completo de los activos digitales

Es el mejor punto de partida, ya que te permite valorar correctamente la complejidad y los riesgos presentes en el entorno tecnológico de la empresa. Para ello, debes identificar los lugares físicos donde operan los servicios tecnológicos y los sistemas de información que hay en tus instalaciones (dispositivos de almacenamiento, aplicaciones, dispositivos de red, puntos de acceso, datos, etc.). En ocasiones, puede ser muy beneficioso crear un plano en el que puedas ver la ubicación física de cada activo.

• Evaluación de riesgos

¿Qué riesgos pueden afectar a tu empresa? Ahora que ya tienes una visión global de todos los activos digitales de la empresa y su ubicación, es recomendable determinar cuáles son las amenazas internas o externas que pueden afectarles. En esta fase, es importante contar con el apoyo de los responsables de cada departamento, ya que ellos pueden evaluar los riesgos y las vulnerabilidades de los equipos, así como las consecuencias ante una pérdida de información. 

• Determinación de criticidad de las aplicaciones y datos

La clasificación de los sistemas de información según su nivel de criticidad facilitará la continuidad de la actividad de la organización. No se trata de aplicar diferentes criterios para cada uno de los sistemas o aplicaciones, sino que se pueden agrupar en función de su importancia. Una vez más, la opinión de los responsables de cada departamento puede servir de gran ayuda.

• Definición de objetivos

¿Para qué quieres llevar a cabo un proceso de recuperación de información? Ten en cuenta que cada empresa y cada ámbito implican unos objetivos diferentes. Por ejemplo: la base de datos de un banco no puede permitirse la inoperatividad, ni siquiera durante un periodo corto de tiempo. En esta fase, es importante que cada área de la empresa responda a una serie de preguntas, como: ¿Cuáles son las implicaciones de la pérdida definitiva de esta información? ¿Cuánto tiempo pueden permanecer operativos sin poder acceder a los sistemas? ¿Qué aplicaciones y bases de datos utilizan?

• Determinación del Recovery Time Objective (RTO)

Es el tiempo que se tarda en solucionar el incidente antes de que los sistemas vuelvan a su normalidad. Una forma práctica de determinar este indicador es teniendo en cuenta la pérdida de ingresos que la empresa sufriría en un determinado periodo de tiempo. El RTO te ayudará a escoger las funcionalidades y servicios del sistema de backup con mayor eficiencia.

• Determinación del Recovery Point Objective (RPO)

El RPO es el volumen de información en riesgo de pérdida que la empresa considera tolerable. Por tanto, determina el objetivo de la posible pérdida de datos introducidos desde el último backup hasta la caída del sistema. El nivel de tolerancia que tenga la empresa puede implicar márgenes temporales muy amplios o muy reducidos. En cualquier caso, el RPO determinará también la frecuencia con la que deberías realizar los backups.

• Elección de las herramientas adecuadas

¿Cómo vas a garantizar cada una de estas fases? ¿De qué herramientas dispones? Los datos cuya pérdida no impacta sobre el funcionamiento del negocio pueden estar respaldados por backups nocturnos, algo que no podemos hacer con la información de mayor valor, dado que necesita un nivel mayor de protección. Por último, la automatización de los procesos de recuperación de la información son imprescindibles en cualquiera de las soluciones que escojas finalmente. 

• Establecimiento de responsabilidades

Es importante definir todos los roles y las responsabilidades involucradas en la elaboración del plan de recuperación de la información ante un posible desastre.

• Involucración de todos los stakeholders

Las personas involucradas en la consecución de los objetivos de la empresa deben aportar su punto de vista durante la planificación, así como ponerse de acuerdo con las prioridades del equipo IT y los SLAs. La creación del sistema de recuperación de desastres no debe limitarse únicamente al Data Center o al equipo tecnológico de la organización.

• Documentación y comunicación del plan de recuperación

Todo el proceso de recuperación de la información debe estar documentado con el fin de garantizar que se conservan los protocolos definidos, así como facilitar la comunicación interna.  ¿Cuál es el procedimiento a ejecutar y los pasos a seguir?

• Pruebas del plan de recuperación

Antes de ponerlo en marcha, debes ponerlo a prueba para comprobar que todo funciona correctamente, evitar errores, determinar la compatibilidad de los procedimientos establecidos, identificar las áreas que necesitan algún tipo de cambio, etc.

• Actualización del plan de recuperación de desastres

El plan podría necesitar actualizaciones en cualquier momento (cuando se produce un cambio sustancial en la empresa que afecta al RTO y al RPO). Aunque la realización del plan de recuperación requiere tiempo y dedicación, es un factor clave para garantizar la supervivencia de la compañía.

Si vas a contratar un servicio de backup, recuerda definir tu plan de recuperación de la información. ¿Necesitas más información sobre los servicios de continuidad de negocio de Cibernos? Podemos ayudarte.