Plan de continuidad de negocio o plan de recuperación ante desastres: ¿Cuáles son las diferencias y cómo elegir?
Dentro de un sistema de información, un desastre puede ocurrir rápidamente. Aunque los riesgos de interrupción de la actividad son siempre mayores con el paso del tiempo (fallo de la red, piratería informática, catástrofe natural u otros), la continuidad o recuperación de la actividad es crucial para las empresas.
De hecho, para evitar consecuencias dramáticas sobre la actividad, es necesario garantizar una alta disponibilidad de los sistemas de información (SI). Sin embargo, aunque la seguridad de los SI suele abordarse mediante un enfoque de software (antivirus, antimalware, etc.), también debe considerarse mediante un enfoque más riguroso y holístico, como un plan de continuidad de la actividad (PCN) o un plan de recuperación en caso de catástrofe (PRC ).
¿Cuáles son las diferencias? ¿Cómo elegir el plan que mejor se adapte a las necesidades de su organización?
¿Por qué hacer un Plan de Continuidad de Negocio (PCN) o un Plan de Recuperación de Desastres (DRP)?
Un BCP o un DRP garantiza el acceso a las aplicaciones y datos críticos para la empresa, gracias a un equipo de reserva. Se trata de un sistema redundante que toma el relevo para permitir la continuación de la actividad o garantizar un reinicio rápido tras una interrupción. La ventaja es que los usuarios no sienten realmente esta transición, lo que reduce el riesgo de sufrir las consecuencias negativas de una parada del sistema.
¿Cuáles son las consecuencias?
La interrupción del sistema de información de una empresa puede provocar:
- Una pérdida neta de volumen de negocio (la actividad ya no puede completarse);
- Una degradación de la marca (debido a la insatisfacción de los usuarios);
- Un impacto legal (si el incidente impide a la organización cumplir sus obligaciones contractuales);
- Y/o comentarios negativos de empleados, clientes y socios.
La razón de ser de un plan de continuidad de negocio o de un plan de recuperación en caso de catástrofe reside en la prevención de catástrofes. Como tales, los PCN y los PRC pueden compararse a un seguro de hogar: Una cobertura que puede no parecer útil el 99% de las veces, pero que se convierte en fundamental cuando se produce un problema. ¿Qué tipo de protección ofrecen estas soluciones?
¿Qué es un Plan de Continuidad de Negocio (PCN)?
El plan de continuidad de negocio (PCN) es una política global de gestión de amenazas potenciales, que evalúa los posibles impactos que puede sufrir una organización si estas amenazas se materializan y garantiza la continuidad del negocio.
Así pues, el PCB constituye el marco en el que la empresa construirá su política de resiliencia, dotándose de los medios necesarios para responder eficazmente a las amenazas que pesan sobre ella, preservando al mismo tiempo sus propios intereses y los de las partes interesadas.
Cada empresa define los riesgos a los que se enfrenta y lo que puede hacer para protegerse. Para una organización que necesita que su información esté siempre disponible, el objetivo del plan de continuidad de negocio es garantizar que las aplicaciones esenciales seguirán disponibles incluso en caso de catástrofe, sin experimentar una interrupción operativa y sin suspender sus servicios.
El núcleo del PCN es el diseño de la arquitectura del sistema de información. Éstas son:
- Instale equipos redundantes (red, servidores, sistemas de almacenamiento de datos) que puedan tomar el relevo en caso de fallo de un componente crítico, en varias ubicaciones diferentes;
- Actualizar continuamente los datos de la red primaria y secundaria;
- Garantizar la disponibilidad de recursos materiales y organizativos en toda la cadena de valor (personal, locales, puestos de trabajo, herramientas de comunicación, etc.);
- Determine qué aplicaciones y datos son esenciales para mantener el negocio y priorice las necesidades.
Hay que tener en cuenta que un PCN global puede reagrupar varios planes de recuperación en caso de catástrofe (PRC) adaptados a las necesidades de la empresa: Un DRP dedicado al Sistema de Información, otro relacionado con el departamento financiero, etc.
¿Qué es un Plan de Recuperación ante Catástrofes (DRP)?
El Plan de Recuperación de Catástrofes (DRP) permite reanudar o reiniciar rápidamente la actividad en caso de interrupción, en función del ritmo fijado por los equipos. A diferencia del BCP, que se utiliza para evitar el cierre de la actividad, el DRP sirve para gestionar los riesgos. Por ejemplo, si el SI no está disponible, el plan de recuperación en caso de catástrofe describe todos los procedimientos que hay que seguir para reiniciar el sistema lo antes posible y devolverlo al estado en que se encontraba antes del suceso.
Los procedimientos de DRP tienen por objeto limitar los efectos negativos del incidente en la actividad de la organización. Para ello es necesario prever un sistema de copia de seguridad y restauración de los datos a partir de un sitio de copia de seguridad (idealmente físicamente en otro lugar), pero también conocer la criticidad de los distintos elementos del sistema para seleccionar una secuencia de reinicio pertinente y fijar plazos aceptables. Además, es posible proporcionar una copia "sana" de los datos para evitar el cifrado total o parcial y permitir una restauración limpia en caso de cualquier ransomware.
Por último, es esencial determinar las causas y reglas de activación de un plan de recuperación a través de un comité preestablecido que, en caso de incidente, podrá tomar las decisiones adecuadas en función de la información de que disponga, y poner a prueba realmente el PRD una o dos veces al año.
PBC o PRD: ¿cómo elegir?
He aquí algunas preguntas que debe plantearse a la hora de elegir entre un PBC y un PRD:
- ¿Puede su organización permitirse una interrupción, aunque sea breve, de su actividad? (Por ejemplo, para un hospital, una interrupción de la red informática puede ser desastrosa, en cuyo caso es necesario disponer de un PCN). Para ello, hay que tener en cuenta dos indicadores de tiempo: el objetivo de tiempo de recuperación (Recovery Time Objective, RTO), que es el tiempo máximo que se puede soportar para reiniciar la actividad, y el objetivo de punto de recuperación (Recovery Point Objective, RPO), que es la cantidad máxima de datos que la empresa puede aceptar perder (o no poder actualizar).
- ¿Cuál es su presupuesto? Para calcularlo, es importante evaluar el impacto económico de una parada completa de su sistema de información durante un plazo determinado. Y ten en cuenta que para que un PCN o un DRP sea relevante, debe probarse y actualizarse periódicamente, lo que se añade al coste inicial.
- ¿De qué aplicaciones y datos críticos hay que hacer copias de seguridad o prepararlos para el futuro?
Además, debe considerar los problemas asociados a una posible externalización de la copia de seguridad fuera de su infraestructura para evitar la pérdida de datos en caso de catástrofe que afecte a sus edificios, es decir, incendio, inundación, terremoto, etc.
Por último, tenga en cuenta que un PCN/PRC debe prepararse con bastante antelación, con un margen que depende del tamaño de la infraestructura y de los elementos que haya que identificar. Por lo general, hay que prever al menos tres meses.
Sea cual sea su necesidad, Iguana Solutions puede apoyarle en el aspecto técnico de la implantación de su plan de continuidad de negocio o de recuperación, partiendo de su análisis de riesgos y adaptándose a sus retos y a sus limitaciones.
Tenga en cuenta que ningún PBC/PRC es igual a otro, cada uno debe elaborarse específicamente para abordar los problemas de su empresa.
¿Quiere saber más?
Póngase en contacto con Iguana Solutions para obtener más información y cuéntenos sus necesidades.
