Por Jesús García Santos, Country Manager de Quest Softwar
¿Alguna vez has evaluado qué pasaría si tu empresa fuera víctima de un ataque de ciberseguridad y esto afectase a toda la operación del negocio? Aunque los desastres de TI pueden ser impredecibles, la recuperación no debería serlo. De hecho, debe ser planificada, predecible y controlada.
Los siguientes pasos te ayudarán a formularte las preguntas correctas y desarrollar una estrategia para crear un plan de recuperación ante desastres efectivo y estrechamente alineado con el negocio:
1.- Realizar un inventario de los activos de TI: El plan de recuperación ante desastres siempre debe comenzar con un inventario de todos los activos de TI. Este paso es necesario para visualizar la complejidad del entorno. Comienza enumerando todos los activos, incluidos todos los servidores, dispositivos de almacenamiento, aplicaciones, datos, conmutadores de red, puntos de acceso y dispositivos de red. Después, mapea la ubicación física de cada activo, en qué red se encuentra e identifica y las dependencias de los usuarios para con esos activos.
2.- Evaluación de riesgos: Una vez que se haya mapeado todos los activos de TI, redes y sus dependencias; enumera las posibles amenazas internas y externas a cada uno de estos activos. Imagínate el peor de los casos y se meticuloso. Las amenazas pueden incluir desastres naturales, ataques cibernéticos o fallas de TI.
A continuación, incluye la probabilidad de que ocurra cada uno y el impacto que podría tener. ¿Cómo afectaría al negocio si ocurriera cada escenario? Solicita ayuda a cada área para este ejercicio, pero asegúrate de enfatizar que las fallas de TI ocurren con más frecuencia que los desastres naturales.
3.-Definir la criticalidad de las aplicaciones y los datos: Es clave clasificar los datos y aplicaciones de acuerdo con su importancia e impacto para la empresa. Busca puntos en común y agrúpalos de acuerdo con la importancia de cada uno para el negocio, la frecuencia de los cambios y la política de almacenamiento ya que no es recomendable aplicar una técnica de recuperación ante desastres diferente a cada aplicación o conjunto de datos. Agrupar activos con características similares permitirá implementar una estrategia menos compleja.
4.-Definir objetivos de recuperación: Los activos y datos tendrán diferentes objetivos de recuperación. Por ejemplo, una base de datos crítica de comercio electrónico puede tener objetivos de recuperación muy agresivos porque la empresa simplemente no puede permitirse perder ninguna transacción o estar inactiva por mucho tiempo. Por otro lado, un sistema interno heredado puede tener objetivos de recuperación menos estrictos porque los datos involucrados no cambian con mucha frecuencia y es menos crítico.
5.-Determinar las herramientas y técnicas adecuadas: Ahora es el momento de elegir qué herramientas y técnicas utilizar. La buena noticia es que en la actualidad hay en el mercado numerosas soluciones de recuperación ante desastres. Solo asegúrate de elegir el nivel de protección adecuado. Finalmente, automatiza y agiliza el proceso de recuperación tanto como puedas. En caso de desastre, es posible que el personal clave de TI no esté disponible. La automatización también reduce el riesgo de error humano.
6.-Obtén la participación de empresas expertas en TI: Consulta a tus socios estratégicos y proveedores para asegurarte de que estás aprovechando al máximo la solución o servicios de recuperación ante desastres. Una vez que hayas consultado a todas las partes interesadas clave, contrata a una empresa experta en TI para que te apoye en el proyecto.
7.-Documentar y comunicar tu plan: En un escenario de desastre, necesitas una estrategia documentada. Este documento debe estar escrito para las personas que lo usarán. Comunica tu plan. Muy frecuentemente solo una persona en la organización conoce el panorama completo del plan de desastres, lo que deja a la organización vulnerable si esa persona no está disponible durante un desastre. Además, asegúrate de almacenar tu estrategia donde se pueda acceder a ella durante una eventualidad.
8.- Evaluar y actualizar el plan: Un plan de recuperación ante desastres debe ser un documento dinámico. Es importante revisarlo con regularidad. El personal clave puede tomar una licencia o cambiar de empleo. Derivado de esa evaluación, se puede migrar a nuevos sistemas operativos o hardware o elegir a algún otro proveedor que cumpla con sus requerimientos. El plan debe reflejar el estado y necesidades actuales de la organización.
En conclusión, a veces, existe una desalineación entre lo que espera la empresa y lo que TI en realidad puede ofrecer, especialmente cuando se trata de recuperación ante desastres. Como líderes, el objetivo final es, sin duda, mantener el negocio funcionando sin problemas, incluso en las peores situaciones. Seguir estas pautas puede ayudarte a organizar desarrollar la estrategia correcta para comenzar a adoptar un enfoque más proactivo y centrado en el negocio para la planificación de la recuperación ante desastres.
¿Alguna vez has evaluado qué pasaría si tu empresa fuera víctima de un ataque de ciberseguridad y esto afectase a toda la operación del negocio? Aunque los desastres de TI pueden ser impredecibles, la recuperación no debería serlo. De hecho, debe ser planificada, predecible y controlada.
Los siguientes pasos te ayudarán a formularte las preguntas correctas y desarrollar una estrategia para crear un plan de recuperación ante desastres efectivo y estrechamente alineado con el negocio:
1.- Realizar un inventario de los activos de TI: El plan de recuperación ante desastres siempre debe comenzar con un inventario de todos los activos de TI. Este paso es necesario para visualizar la complejidad del entorno. Comienza enumerando todos los activos, incluidos todos los servidores, dispositivos de almacenamiento, aplicaciones, datos, conmutadores de red, puntos de acceso y dispositivos de red. Después, mapea la ubicación física de cada activo, en qué red se encuentra e identifica y las dependencias de los usuarios para con esos activos.
2.- Evaluación de riesgos: Una vez que se haya mapeado todos los activos de TI, redes y sus dependencias; enumera las posibles amenazas internas y externas a cada uno de estos activos. Imagínate el peor de los casos y se meticuloso. Las amenazas pueden incluir desastres naturales, ataques cibernéticos o fallas de TI.
A continuación, incluye la probabilidad de que ocurra cada uno y el impacto que podría tener. ¿Cómo afectaría al negocio si ocurriera cada escenario? Solicita ayuda a cada área para este ejercicio, pero asegúrate de enfatizar que las fallas de TI ocurren con más frecuencia que los desastres naturales.
3.-Definir la criticalidad de las aplicaciones y los datos: Es clave clasificar los datos y aplicaciones de acuerdo con su importancia e impacto para la empresa. Busca puntos en común y agrúpalos de acuerdo con la importancia de cada uno para el negocio, la frecuencia de los cambios y la política de almacenamiento ya que no es recomendable aplicar una técnica de recuperación ante desastres diferente a cada aplicación o conjunto de datos. Agrupar activos con características similares permitirá implementar una estrategia menos compleja.
4.-Definir objetivos de recuperación: Los activos y datos tendrán diferentes objetivos de recuperación. Por ejemplo, una base de datos crítica de comercio electrónico puede tener objetivos de recuperación muy agresivos porque la empresa simplemente no puede permitirse perder ninguna transacción o estar inactiva por mucho tiempo. Por otro lado, un sistema interno heredado puede tener objetivos de recuperación menos estrictos porque los datos involucrados no cambian con mucha frecuencia y es menos crítico.
5.-Determinar las herramientas y técnicas adecuadas: Ahora es el momento de elegir qué herramientas y técnicas utilizar. La buena noticia es que en la actualidad hay en el mercado numerosas soluciones de recuperación ante desastres. Solo asegúrate de elegir el nivel de protección adecuado. Finalmente, automatiza y agiliza el proceso de recuperación tanto como puedas. En caso de desastre, es posible que el personal clave de TI no esté disponible. La automatización también reduce el riesgo de error humano.
6.-Obtén la participación de empresas expertas en TI: Consulta a tus socios estratégicos y proveedores para asegurarte de que estás aprovechando al máximo la solución o servicios de recuperación ante desastres. Una vez que hayas consultado a todas las partes interesadas clave, contrata a una empresa experta en TI para que te apoye en el proyecto.
7.-Documentar y comunicar tu plan: En un escenario de desastre, necesitas una estrategia documentada. Este documento debe estar escrito para las personas que lo usarán. Comunica tu plan. Muy frecuentemente solo una persona en la organización conoce el panorama completo del plan de desastres, lo que deja a la organización vulnerable si esa persona no está disponible durante un desastre. Además, asegúrate de almacenar tu estrategia donde se pueda acceder a ella durante una eventualidad.
8.- Evaluar y actualizar el plan: Un plan de recuperación ante desastres debe ser un documento dinámico. Es importante revisarlo con regularidad. El personal clave puede tomar una licencia o cambiar de empleo. Derivado de esa evaluación, se puede migrar a nuevos sistemas operativos o hardware o elegir a algún otro proveedor que cumpla con sus requerimientos. El plan debe reflejar el estado y necesidades actuales de la organización.