Print Friendly, PDF & Email

Plan de recuperación de desastres

Pan de recuperación de desastres
Pan de recuperación de desastres

¿Qué es un plan de recuperación de desastres?

Un plan de recuperación de desastres se podría denominar a las medidas establecidas con anticipación para cubrir riesgos que afectan la continuidad de un negocio y que facilitan el proceso de recuperación de datos, utilización de hardware alternativo y el software crítico, en caso de un desastre natural o causado por humanos.

¿Por dónde empezar?

Podría la empresa haber empezado con el BCP -la Planificación de la Continuidad del Negocio (enfoque top-down), y después o simultáneamente considerar el DRP -la Planificación de Recuperación de Desastres de los servicios y sistemas de TIC.

O podría la empresa empezar con la Planificación de Recuperación de Desastres de los servicios y sistemas de TIC (enfoque bottom-up), y luego considerar la Planificación de la Continuidad del Negocio. 

También podría la empresa haber empezado con la planificación de contingencias para un departamento (liquidez, talento humano, compras prioritarias, producción, operaciones, etc.) o para una región (costa, sierra, ultramar, dimensión virtual, etc.).

¿Cuándo es el momento de empezar a elaborar un plan de recuperación de desastres?

Mas aun, en cualquier momento la empresa podría establecer un Sistema de Gestión de la Continuidad del Negocio para que administre todos los planes, estudios, análisis, presupuestos, recursos, prioridades, etc.; relacionados con contingencias, sostenibilidad del negocio, responsabilidad social con las comunidades relacionadas.

¿Existe alguna guía para implementar un plan de recuperación de desastres?

Como sea, es importante considerar que para cada necesidad hoy existen estándares, marcos, modelos, referencias que contienen mejores prácticas para asegurar que las actividades de planificación de contingencias se realizan con la mejor calidad profesional. Por ejemplo, para la Gestión de la Continuidad del Negocio existe la familia ISO 22300 (ISO 22301, ISO 22317, ISO 22398, ISO 22313…), así como la norma BS 25999 (partes 1 y 2). Para la Recuperación de Desastres Informáticos existen: ISO 24762 específicamente, con guías de apoyo en ISO 20000, Cobit 5, ITIL, NIST SP 800-34, BS 25777, ISO 27002.

Particularmente en el caso de DRP -la Planificación de Recuperación de Desastres de los servicios y sistemas de TIC, los temas que se deben resolver apoyándose en el estándar y las normas de referencia incluyen a los siguientes:

Recuperación de servicios TIC: Estabilidad ambiental, Gestión de activos, Proximidad del sitio, Gestión de proveedores, Arreglos de subcontratación (outsourcing), Seguridad de la información, Activación y desactivación del plan de recuperación de desastres, Entrenamiento y educación, Pruebas en sistemas TIC, Planificación de continuidad del negocio para proveedores de servicios TIC DR, Documentación y revisión periódica, instalaciones de recuperación de desastres.

Recuperación de las instalaciones TIC: Ubicación de los sitios de recuperación, Controles de acceso físico, Seguridad de la instalación física, Áreas dedicadas, Controles ambientales, Telecomunicaciones, Fuente de alimentación, Gestión de cables, Protección contra incendios, Centro de operaciones de emergencia (EOC), Instalaciones restringidas, Instalaciones físicas y ciclo de vida del equipo de soporte, Pruebas.

Capacidad de proveedores de servicios subcontratados (outsourcing): Revisar el estado de recuperación de desastres de la organización, Requisitos de instalaciones, Experiencia, Control de acceso lógico, Equipo de TIC y preparación para la operación, Soporte de recuperación simultánea, Niveles de servicio, Tipos de servicio, Proximidad de los servicios, Ratio de suscripción para servicios compartidos, Activación de los servicios suscritos, Prueba de organización, Cambios en la capacidad, Plan de respuesta de emergencia, Autoevaluación.

Selección de sitios de recuperación: Infraestructura, Mano de obra y soporte calificados, Masa crítica de proveedores, Registro de seguimiento de proveedores de servicio local, Soporte local proactivo.

Mejora continua: Tendencias TIC DR, Medición del rendimiento, Escalabilidad, Mitigación de riesgos.

Puedes consultar más sobre este tema en:

Referencias:

•Lo que no debe hacer al implementar con la Norma ISO 22301 para Continuidad del Negocio http://noen22301.blogspot.com/

•Gestion de Riesgos combinando Business Analytics y herramientas de Business Intelligence https://www.amazon.com/dp/B01MYM3WP6

•Buenas practicas de Mejoramiento Continuo http://mejoramientocontinuoitilcsi.blogspot.com/ 

•COSO 2013 http://www.youtube.com/watch?v=c2Wb4NwWGLw

https://advisera.com/27001academy/knowledgebase/business-continuity-plan-how-to-structure-it-according-to-iso-22301/?icn=free-knowledgebase-27001&ici=bottom-business-continuity-plan-how-to-structure-it-according-to-iso-22301-txt

Keywords: #DRP, #continuidaddelnegocio, #gestionderiesgos, #RiesgoOperativo, 24762, Resilience, Continuidad, Sostenibilidad, Seguridad, 22301, 22319, 22398, 22317, 25999, DRP, 31000, NIST


Jorge Olaya
Jorge Olaya

PECB Certified ISO 22301 Lead Auditor (Business Continuity), ITIL (Foundation), PECB Certified ISO/IEC 27001 Lead Auditor (Seguridad de la Información), PECB Certified ISO 31000 Lead Risk Manager, PECB Certified Trainer Más de 26 años de experiencia en el liderazgo y ejecución de servicios de consultoría y auditoría, en la gerencia de proyectos de varios millones de dólares, y en ventas de productos y servicios, en más de 92 empresas de todos los tamaños, tanto públicas como privadas, en Ecuador, Chile, Costa Rica y Perú.