Fernando Mollon, VP de VMware Latinoamérica
Calentamiento global, terrorismo, ataques DoS, pandemias, terremotos, virus… ¿está su empresa lista para sobrevivir un desastre? En el Global Disaster Recovery Index 2012 publicado por Acronis 6,000 funcionarios de TI reportaron que los desastres naturales causaron sólo 4% de las interrupciones de servicio; incidentes en las instalaciones de los servidores (problemas eléctricos, fuegos y explosiones) representaron el 38%. Sin embargo, errores humanos, actualizaciones problemáticas y los virus encabezaron la lista con el 52%.
Nuestra creciente dependencia a datos e información, los han convertido en el activo más valioso de una compañía. A medida en que la infraestructura de TI aumenta su complejidad, la importancia de la recuperación de desastres también crece. La interrupción del servicio o la pérdida de información pueden tener un impacto crítico en las finanzas de una corporación y, por lo tanto, el Disaster Recovery Plan (plan de recuperación ante desastres o DRP por sus siglas en inglés) se vuelve cada vez más complejo.
¿Qué tipo de plan necesita su empresa? Cada plan debe ser personalizado según las necesidades de la compañía y debe contemplar factores tales el tipo de negocio, el nivel de seguridad necesario para los datos y aplicaciones, ubicación, etc. Asimismo, se puede desarrollar internamente o adquirir de un proveedor como SaaS o RaaS.
Los 6 elementos esenciales para un plan sólido de recuperación ante desastres
1. Definición del plan
Para que un plan de recuperación ante desastres funcione, tiene que involucrar a la gerencia. Ellos son los responsables de su coordinación y deben asegurar su efectividad. Adicionalmente, deben proveer los recursos necesarios para un desarrollo efectivo del plan. Todos los departamentos de la organización participan en la definición del plan.
2. Establecimiento de prioridades
A continuación, la compañía debe preparar un análisis de riesgo y crear una lista de posibles desastres naturales o causados por errores humanos, y clasificarlos según sus probabilidades. Una vez terminada la lista, cada departamento debe analizar las posibles consecuencias y el impacto relacionado con cada tipo de desastre. Ésto servirá como referencias para identificar lo que se necesita incluir en el plan. Un plan completo debe considerar una pérdida total del centro de datos y eventos de larga duración de más de una semana.
Una vez definidas las necesidades de cada departamento, se les asigna una prioridad. Esto es importante porque ninguna compañía tiene recursos infinitos. Los procesos y operaciones son analizados para determinar la máxima cantidad de tiempo que la organización puede sobrevivir sin ellos. Se establece un orden de recuperación según el grado de importancia. Esto se define como el Recovery Time Objective, tiempo de recuperación o RTO. Otro término importante es Recovery Point Objective, punto de recuperación o RPO. RPO se mide en tiempo y es la máxima cantidad de datos que es aceptable perder debido a un incidente. Por ejemplo si el RPO es de cuatro horas, un sistema basado en cinta que se resguarda cada día, no es suficiente.
3. Selección de estrategias de recuperación
En esta etapa se deciden las alternativas más prácticas para proceder en caso de un desastre. Todos los aspectos de la organización se analizan incluyendo hardware, software, comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar varían según la función del equipo y puede incluir duplicación de centros de datos, alquiler de equipos e instalaciones, contratos de almacenamiento y muchas más. Igualmente, se analizan los costos asociados.
En una encuesta de 95 compañías realizada por la firma Sepaton en 2012, 41% de los encuestados reportó que su estrategia de DRP consiste en un centro de datos configurado activo-pasivo, es decir toda la información está respaldada en un centro de datos completamente configurado con la información crítica replicada en un sitio remoto. El 21% de los participantes utiliza una configuración activa-activa donde toda la información de la compañía se mantiene en dos o más centros de datos. El 18% dijo que usan aún cintas de respaldo; mientras que el 20% restante no tienen o no están planeando una estrategia todavía.
La tecnología tradicional es aceptable para negocios pequeños, pero si ya está haciendo una inversión que puede llegar a representar hasta el 25% del presupuesto del departamento de TI, ¿por qué no optar por la tecnología de vanguardia? La virtualización representa un avance considerable para TI y aplica igualmente al DRP. Según el estudio de Acronis, las razones principales para adoptar la virtualización en un DRP son: eficiencia mejorada 24%; flexibilidad y velocidad de implementación 20% y reducción de costos 18%.
4. Componentes esenciales
Entre los datos y documentos que se deben proteger se encuentran listas, inventarios, copias de seguridad de software y datos, cualquier otra lista importante de materiales y documentación. La creación previa de plantillas de verificación ayudará a simplificar este proceso.
Un resumen del plan debe ser respaldado por la gerencia. Este documento organiza los procedimientos, identifica las etapas importantes, elimina redundancias y define el plan de trabajo. La persona o personas que escriban el plan deben detallar cada procedimiento, tomando en consideración el mantenimiento y la actualización del plan a medida de que el negocio evoluciona. El plan asigna responsabilidad a diferentes equipos/ departamentos y alternos.
5. Criterios y procedimientos de prueba del plan
La experiencia indica que los planes de recuperación deben ser probados en su totalidad por lo menos una vez al año. La documentación debe especificar los procedimientos y la frecuencia con que se realizan las pruebas. Las razones principales para probar el plan son: verificar la validez y funcionalidad del plan, determinar la compatibilidad de los procedimientos e instalaciones, identificar áreas que necesiten cambios, entrenar a los empleados y demostrar la habilidad de la organización de recuperarse de un desastre.
Después de las pruebas el plan debe ser actualizado. Se sugiere que la prueba original se realice en horas que minimicen trastornos en las operaciones. Una vez demostrada la funcionalidad del plan se deben hacer pruebas adicionales donde todos los empleados tengan acceso virtual y remoto a estas posiciones y funciones en el caso de un desastre. Recuerde, un plan sin probar, es igual que no tener un plan.
6. Aprobación final
Después de que el plan haya sido puesto a prueba y corregido, la gerencia deberá aprobarlo. Ellos son los encargados de establecer las pólizas, los procedimientos y responsabilidades para un plan de contingencia y de actualizar y aprobar el plan anualmente. Asimismo, sería recomendable también evaluar los planes de contingencias de proveedores externos.
Considere al plan de recuperación ante desastres como un seguro que a pesar de que requiere una cantidad considerable de recursos y dedicación, a la vez, es una herramienta vital para la supervivencia de su empresa.
Fernando Mollon, VP de VMware Latinoamérica
Portal Minero