Una guía rápida para crear un DRP para tu empresa
9 minutos de lectura
Índice
Desde aquí te dejamos el índice para que veas en qué artículo estás y cuáles son los siguientes de la saga ISO 27001.
1. Mantén la calma: Esto es la ISO 27001
2. ¿Mi startup debería cumplir con ISO 27001?
3. Cómo prepararte para la auditoría de certificación en ISO 27001
4. 7 beneficios de invertir en ISO 27001
5. Guía para implementar la ISO 27001
6. Creando un inventario en 4 sencillos pasos
7. Matriz de control de accesos: Qué es y cómo hacerla paso a paso
8. Plan de continuidad del negocio (BCP): Qué es y en qué consiste
9. 6 pasos para armar un plan de continuidad del negocio (BCP)
10. Plan de recuperación ante desastres (DRP): Qué es y cómo hacerlo [+Plantilla gratis]
11. ?Cómo hacer un descriptivo de roles y responsabilidades
12. Cómo hacer tu política de seguridad de la información
Un plan de recuperación ante desastres te permite garantizar la respuesta a un incidente o emergencia que afecte a los sistemas tecnológicos.
Es un documento clave para cualquier empresa que busque un mínimo estándar de ciberseguridad, pero sobre todo para aquellas con base tecnológica, donde la disponibilidad de los sistemas es un asunto crítico que no puede ignorarse.
Crear un plan de recuperación ante desastres se trata principalmente de elaborar estrategias y procedimientos. Y si ya te ha tocado crear un BCP (plan de continuidad del negocio), que no es lo mismo, entonces este documento te será sencillo porque tienen una estructura muy similar.
Sigue leyendo para aprender cómo armarlo en 6 sencillos pasos y con una plantilla que puedes completar a la par.
¿Qué es un plan de recuperación ante desastres (DRP)?
También conocido como Disaster Recovery Plan (DRP) es un documento donde las empresas describen los procedimientos a seguir para reanudar el área de TI en caso de una interrupción (como caída de servidores cloud, base de datos, falla de infraestructura o software, catástrofes).
El plan de recuperación ante desastres forma parte del plan de continuidad del negocio (BCP) que contiene procedimientos para todas las áreas de una empresa.
¿Para qué sirve el plan de recuperación ante desastres (DRP)?
Las estrategias y acciones definidas en el plan de recuperación ante desastres le permiten a una empresa reanudar sus actividades en el menor tiempo posible y con la menor pérdida de información.
Este es, de hecho, uno de los principales motivos por el que los corporativos y reguladores lo solicitan a menudo, ya que es una forma de evidenciar cómo manejas los problemas de continuidad o disponibilidad de tus sistemas críticos.
En resumen, estos son los cuatro beneficios que podemos destacar:
- Atención continua al cliente y proveedores: reduce el tiempo de inactividad al máximo para mantener la buena relación comercial con clientes y proveedores.
- Minimiza las pérdidas por inactividad: organiza y capacita a los equipos para que actúen rápidamente y restablezcan los sistemas críticos.
- Minimiza el estrés de la toma de decisiones: en una situación extrema es primordial que todos sepan cómo actuar, desde el personal de menor rango hasta el de mayor rango.
- Asegura el acceso a la información: el respaldo permite proteger los datos ante cualquier evento negativo.
5 pasos para crear un plan de recuperación ante desastres
1. Definir el alcance y el objetivo
En el objetivo debes indicar lo que tu empresa quiere lograr con este plan. Un ejemplo puede ser: garantizar la respuesta a un desastre que afecte a los sistemas de información y minimizar su efecto en el funcionamiento del negocio.
En el alcance, por otro lado, debes definir los componentes tecnológicos que estarán involucrados en el plan, es decir todos aquellos que sean críticos para los servicios o productos del negocio.
Ahora bien, es importante que ambos estén relacionados o alineados con el objetivo y el alcance que has planteado previamente en tu política de continuidad.
2. Crear las estrategias de recuperación
Al igual que en el plan de continuidad del negocio (BCP), debes crear alternativas que aseguren la disponibilidad de los recursos tecnológicos ante cualquier interrupción.
Lo recomendable es elaborar varias estrategias para distintos escenarios de incidentes. Por ejemplo, algunos escenarios de incidentes comunes son:
- Indisponibilidad del sistema operativo
- Indisponibilidad del sistema de procesamiento de datos
- Caída de la base de datos
- Falla en el software
- Indisponibilidad del servicio de proveedor nube
Este es un ejemplo de cómo podrías pensar las estrategias según el escenario de incidente:
Escenario de incidente | Estrategias de recuperación |
Caída de la base de datos | A. Backup de información. B. Infraestructura alternativa o sitio de contingencia. C. Cambio de ruteo de servidores desde una región a otra. |
3. Crear los procedimientos para las estrategias
Una vez que tengas las estrategias describe el paso a paso a seguir para que el equipo encargado logre restaurar la tecnología según el escenario de incidente.
Veamos un ejemplo del procedimiento para recuperar la base de datos:
Escenario de incidente | Estrategias de recuperación | Procedimiento de recuperación |
Caída de la base de datos | A. Backup de información. B. Infraestructura alternativa o sitio de contingencia. C. Cambio de ruteo de servidores desde una región a otra. | 1. Contactar al equipo de desarrollo y de operaciones. 2. Realizar respaldo extraordinario de la base de datos. 3. Realizar snapshot de los servidores de base de datos. 4. Restaurar un ambiente de QA de la base de datos. En dicho ambiente revisar que la base de datos tenga espacio disponible en disco . a. Corregir espacio si falta. b. Revisar logs de la base de datos. c. Revisar alertas de ambiente de datos. d. Identificar y corregir problemas en base de datos. e. Realizar pruebas en ambiente QA. Si fallan las pruebas, volver al punto 4.a. f. Realizar paso a producción de modificaciones. 5. Si la base de datos no puede ser corregida, se debe restaurar la última versión respaldada 6. Se notifica al responsable operacional y al usuario final. |
4. Definir las métricas RPO y RTO
El Recovery Point Objective (RPO) y Recovery Time Objective (RTO) son dos métricas de tiempo muy importantes para el plan de recuperación ante desastres (DRP) ya que ayudan a crear estrategias viables para el negocio. Refresquemos ambos conceptos:
RPO (Recovery Point Objective) es el tiempo máximo aceptable que puede transcurrir entre el momento en que se realizó la última copia de seguridad de los datos y un incidente.
RTO (Recovery Time Objective) es el tiempo que un negocio necesita para recuperar sus sistemas después de la inactividad producida por un incidente.
Si bien no existe una solución única para definirlos ya que depende de las necesidades de cada empresa, aquí te comentamos cuáles son los valores más comunes definidos por las startups, pymes y empresas tech.
RPO: Para que este valor sea ínfimo debes realizar gran cantidad de backups, y eso puede implicar mayor costo con tu proveedor. Por lo general, las empresas pequeñas suelen establecer que el tiempo máximo de pérdida de datos sea igual a su SLA (Acuerdo de Nivel de servicio), por ejemplo, 24 hs.
RTO: Para definir el RTO es necesario conocer el tiempo de restauración que tengas con tu proveedor de nube y cuánto demoras en levantar los servicios caídos. Habitualmente, suele darse entre 4 y 8 horas, aunque depende de la complejidad de lo instalado.
Ten en cuenta que las estrategias y los procedimientos deben estar pensadas para cumplir con estas dos métricas. Por ejemplo, si se definió que la métrica RPO es de 8 horas, entonces no puedes establecer backups cada 24 hs.
5. Probar, revisar y mantener
El plan de recuperación debe actualizarse anualmente (o cuando ocurran cambios significativos en los recursos tecnológicos). Por ello, recuerda agendar estas actualizaciones con tu equipo.
Por otro lado, también debe ser objeto de prueba cada año para verificar su efectividad. Las Pruebas al DRP son obligatorias ya que son evidencia del mantenimiento y mejora continua. Sus resultados se detallan en un Informe de Resultado de Pruebas que debe ser revisado y aprobado por el coordinador y el gerente del equipo de recuperación.
Cómo el plan de recuperación ante desastres (DRP) ayuda a cumplir múltiples normativas
Implementar este documento también te ayuda a cumplir con distintas normativas como PCI DSS, ISO 27001, SOC 2, HIPAA o incluso con regulaciones latinoamericanas como la Ley Fintech México y la RAN 20-10 de Chile.
Conclusión
El plan de recuperación ante desastres es un documento clave para cualquier proyecto de seguridad ya que asegura la continuidad de las empresas, pero sobre todo, de aquellas que están construidas sobre una base tecnológica.
Esta es una de las principales razones por la que un regulador o cliente corporativo te la solicitará en sus auditorías de seguridad.
También, vimos que el DRP delimita los pasos a seguir para restaurar la tecnología rápidamente y hacer que los sistemas estén disponibles aún en situaciones extremas. En él también se definen los valores de las métricas RPO (tiempo en que ocurre la pérdida real de datos) y RTO (tiempo que lleva solucionar el incidente).
Si estás implementando ISO 27001, esta guía te ahorrará el tiempo y esfuerzo en crear tu DRP desde cero.
Si tienes dudas con este documento o quieres conocer más sobre el cómo podemos ayudarte, contáctanos para que podamos guiarte.