Acompáñanos y descubre qué es y por qué necesitamos Disaster Recovery.
La creciente dependencia de todas las organizaciones de unos sistemas de TI que cada día son más complejos, así como el crecimiento exponencial de amenazas a estos nos hacen cada día más sensibles a la caída de los componentes que los integran.
Nuestros sistemas, y por tanto nuestras organizaciones, están amenazados por incontables eventos e incidentes que pueden ser inocuos, nocivos o incluso catastróficos, enumerándose entre estos eventos los cortes de suministro eléctrico, cortes de líneas de datos, actos de la naturaleza como incendios, inundaciones, terremotos, etc. O incluso, en un panorama político cada más incierto, podríamos ser victimas propiciatorias en disturbios o ataques terroristas.
Todo lo expuesto hasta ahora, y las noticias que hemos podido leer a lo largo de los años sobre empresas que sufren incidentes catastróficos, nos enseñan que aquellas organizaciones que no están preparadas para los peores escenarios son susceptibles de no sobrevivir cuando estos se presentan.
Es por este motivo y basándonos en la necesidad de asegurar la continuidad del negocio que debemos implantar alguna estrategia o política de Disaster Recovery (DR) o Recuperación ante Desastres.
A lo largo del tiempo y partiendo de la norma británica BS25999, que fue la primera norma en aproximarse a la gestión de la continuidad del negocio (BCM o Business Continuity Management) han ido surgiendo distintas normativas en las cuales nos podemos basar para determinar la necesidad de nuestra organización de un plan de recuperación de desastres y una forma de implementarla.
Un problema complejo:
El mayor problema al que se enfrentan aquellos que quieren implementar la continuidad de negocio a través de Disaster Recovery (recuperación frente a desastres) es la complejidad, amén del coste de la implementación y el mantenimiento de los mecanismos sobre los que estos se sustenta.
Se parte de la, en cierta forma, aproximación errónea de que solo la pueden implementar especialistas, lo cual hace que este tipo de implantaciones sean difícilmente abordables por las pequeñas y medianas empresas (pymes). Y si bien estos especialistas en Continuidad de Negocio o en DR están mejor preparados y conocen mucho mejor tanto los procesos formales como las normas de aplicación e incluso las soluciones técnicas ya que se dedican a ello como ‘core’ de su negocio, esto no significa que no se pueda implementar sin contar con este tipo de profesionales.
Se suele tener la visión timorata en la que se piensa que los departamentos de TI (sobre todo de las pymes) no están preparados para llevar a cabo un proyecto de este tipo y que no tener experiencia en ese campo, sumado a los posibles costes asociados, hace que no se pueda implementar un proyecto en muchas empresas.
Esta visión está completamente equivocada porque, si bien la mayoría de los técnicos de TI de pequeñas empresas suelen adolecer de falta de experiencia en el diseño y la implementación de soluciones de Disaster Recovery, gozan de gran experiencia en un amplio campo de las tecnologías con las que dichas soluciones se conforman, ya que al final, cuando hablamos de recuperación frente a desastres, hablamos de configuraciones de aplicaciones, de sistemas operativos, de electrónica de red, etc., amén de la parte procedimental, normativa o legal.
¿Qué es realmente el Disaster Recovery?
El termino DR o recuperación ante desastres se refiere a todas las actividades que se deben realizar y toda la infraestructura que se debe desplegar y gestionar para poder recuperar la correcta operación de la empresa para que esta no sufra un gran impacto en el servicio que proporciona.
Definiendo de manera un poco más académica el Disaster Recovery, podemos decir que es toda planificación, preparación, implementación, mantenimiento y ejecución de todo el proceso necesario para recuperar el servicio tras un desastre.
¿Por qué necesitamos de Disaster Recovery?
La disponibilidad de los sistemas siempre ha sido algo imperativo y crítico, porque si no tenemos sistemas productivos o sistemas de facturación activos es imposible mantener el negocio operativo.
La indisponibilidad de los servicios o la falta de operación puede impactar de múltiples maneras en nuestro negocio, incluyendo un factor que muchas veces no se tiene en cuenta y es el de la imagen corporativa, que puede ser determinante para que una empresa pueda llegar a hundirse frente a sus competidores.
Hoy en día, y gracias a los ordenadores, tabletas y sobre todo a los terminales de telefonía móvil con funcionalidades avanzadas (smartphone), la mayoría de los usuarios se han acostumbrado a tener la capacidad de acceder a la información, a noticias y todo tipo de contenidos de manera instantánea.
Esto ha hecho que por un lado se pueda lograr una mejor productividad, pero por otro se ha creado una dependencia de los sistemas de información y una “ansiedad” cuando los sistemas no van todo lo rápido que deseamos o cuando no están disponibles que antes no existía. Hace unos años, no tenías acceso a la web o a una tienda y volvías a probar en un rato; en la situación actual, podemos encontrar usuarios que no esperan a que el servicio vaya mejor o a que esté disponible de nuevo y se van a buscar otra web, otra tienda, o cualquier otro recurso que calme su necesidad de inmediatez.
Todo esto hace más necesario que nunca que nuestros servicios y procesos estén operativos en todo momento para garantizar la supervivencia de nuestra organización.
¿Cómo ponemos en marcha un Disaster Recovery?
Aunque no es el propósito de este artículo, sí que vamos a hacer una breve reflexión sobre cómo podemos poner en marcha un DR en nuestra organización.
Este tipo de procesos de DR suelen planificarse de manera holística para ser capaces de aunar tanto a los procesos como las personas y la tecnología que conforman la lógica de gestión empresarial. Esto nos indica que se debe hacer un trabajo de coordinación entre los distintos departamentos para poder extraer la información necesaria para planificar todo, tener claro que es lo más importante y diseñar una solución para el restablecimiento del servicio.
Por un lado, se deberán analizar todos los procesos de la empresa en busca de aquellos que son más susceptibles de tener un mayor impacto en la facturación de la empresa, para de esta manera asignar a cada proceso una prioridad en su tratamiento y restablecimiento.
Por otro lado, se deberá ver cuales son las personas y los roles claves en la operación de los sistemas, las personas que son claves en la coordinación y en la toma de decisiones y quiénes son las personas o roles que hacen guardias para tener a todos los actores clave identificados y planificar qué avisos, escalados y demás flujos de comunicación se deben realizar en caso de necesidad.
Por último, se deben tener en cuenta las tecnologías involucradas tanto en la operación ordinaria de los servicios y de la producción de la empresa, así como las dependencias que tendrán los procesos de dichas tecnologías.
Una vez analizadas las necesidades de operación de la empresa, así como aquellos flujos de operación que no se deben interrumpir, se deberá pensar en los procesos, las tecnologías y las personas que deberán organizarse para el restablecimiento de los sistemas, y sobre todo para que los procesos críticos se reestablezcan lo antes posible.
Sobre lo expuesto anteriormente, debemos tener en cuenta que no serán las mismas necesidades, ni los mismos procesos, personas o tecnologías si nuestra empresa se dedica a reparar tostadoras que si se dedica a vender patatas o hacer servicios de consultoría, por lo que no existirá una fórmula magistral para diseñar un DR y aplicarlo a cualquier empresa.
Si lo que se busca es un cumplimiento normativo de un estándar, como por ejemplo el UNE-ISO-22301 (Sistemas de Gestión de Continuidad de Negocio), sí que se pueden aplicar diversas plantillas de documentos. De hecho, existen empresas que se dedican a vender dicha documentación, preparada a través de plantillas en las que solo necesitamos rellenar los huecos en blanco, pero que por mucho que cumplimentemos no tendrán una validez real, más allá de pasar los controles de la norma, y por supuesto no salvarán ninguna situación de caída de nuestra producción ni de nuestros sistemas ya que se trata de algo “artificioso”, no de una implementación real del DR.
Conclusión:
Tal y como hemos visto a lo largo del artículo qué es y por qué necesitamos Disaster Recovery, necesitamos establecer controles y procesos para poder recuperar el correcto funcionamiento de los sistemas cuando estos caigan, sobre todo cuando estos afecten a servicios fundamentales de nuestra organización.
Asimismo, hemos visto que debemos distinguir entre el cumplimiento normativo de una norma como la ISO 22301, y un sistema de Disaster Recovery diseñado para recuperar el servicio real de la empresa.
Por último, hemos podido ver que un plan de recuperación frente a desastres no es algo que pueda desplegar únicamente un equipo de especialistas, sino que puede ser desplegado por el grupo de técnicos de sistemas y comunicaciones que trabajan normalmente en nuestra organización, siendo necesario el apoyo de la organización y la dirección.
Puedes encontrar otra información sobre DR y temas relacionados en nuestro blog, pudiendo leer artículos como Disaster Recovery: Qué son RPO, RTO, WRT o MTD (jotelulu.com).
¡Gracias por leernos!