¿Qué es la recuperación ante desastre para continuidad empresarial? (BCDR)

Un plan de recuperación ante desastres para continuidad empresarial (BCDR) le ayuda a las organizaciones y a las compañías a prepararse para eventos potencialmente dañinos y perjudiciales. Añade la capacidad de continuar con las operaciones comerciales de manera ininterrumpida y reduce el riesgo de intervenciones no deseadas causadas por el factor humano o por un desastre natural.

BCDR utiliza un conjunto de procesos y técnicas para ayudar a las organizaciones a mantener operaciones comerciales habituales en caso de amenazas no deseadas o de una situación de desastre al proporcionar procesos comerciales seguros y resguardar las funciones empresariales críticas de su organización. El plan de recuperación ante desastre para continuidad empresarial le brinda la oportunidad a cada compañía u organización de adoptar y recuperarse de cada evento perjudicial que pueda ocurrir a diario.

A pesar del hecho de que los desastres naturales no pueden predecirse, usted sentirá la tranquilidad de contar con la mejor preparación para desastres independiente de lo que ocurra; sus datos comerciales y operaciones empresariales críticas estarán protegidas. Es más, esto le brindará la oportunidad de tener resiliencia comercial del más alto nivel cada día, debido a que se sabe de antemano que un desastre golpea de manera inesperada y es completamente impredecible. Usted puede conservar la calma y tranquilidad respecto a su negocio sabiendo que se utiliza el respaldo de datos como proceso de recuperación.

Todas estas operaciones críticas garantizan la continuidad empresarial para su empresa. Para cada organización que se respete a sí misma, debe ser una obligación disponer de planes de continuidad empresarial y de estrategias de recuperación ante desastres en caso de que ocurra lo inesperado. Los socios comerciales en todo el mundo están en busca de las mejores decisiones a fin de resguardar la capacidad de sus organizaciones para acudir a un respaldo en caso de una emergencia.  ¿Acaso este artículo suena interesante y fundamental para su empresa también? Es momento de repasar en detalle lo que significa un BCDR y ahondar más en los infinitos beneficios que le otorga tanto a usted como a su empresa.

Hoy en día, vivimos en un mundo en donde debe existir una tolerancia cero respecto a la interrupción de las operaciones, error humano, desastres naturales o un ciberataque, debido a que estos pueden afectar los procesos críticos de su empresa, lo cual puede ser un evento catastrófico en su organización. La planificación de continuidad empresarial, así como la planificación de recuperación ante desastres, son los factores que minimizarán el impacto que los grandes desastres pueden tener en la capacidad comercial para ofrecer sus productos o servicios.

Si bien ambas son muy importantes e incluso similares, poseen diferencias relevantes y su comprensión es fundamental, en materia de seguridad para su empresa. Hoy en día, la continuidad empresarial y la recuperación ante desastres son factores clave de éxito para lidiar con una variedad de situaciones destructivas. En donde la planificación ante desastres y las estrategias proactivas son la ultima pieza del rompecabezas para disponer de la mejor estrategia de continuidad comercial. El manejo adecuado de crisis es uno de los aspectos más importantes hacia el camino de la recuperación ante desastres y la gestión de continuidad empresarial estable.

Cada organización, desde la más pequeña a la más grande, depende de las tecnologías digitales para generar ingresos. Por lo tanto, un enfoque BCDR adecuado es un factor clave cuando se trata de alcanzar el éxito.

En términos generales, los profesionales de BCDR pueden ayudar a una empresa u organización a crear una estrategia para sobrevivir cuando se presente un periodo de dificultad. En cada plan bueno y efectivo debe existir un plan de continuidad empresarial típico, una estrategia de recuperación ante desastres y un análisis de riesgos. Garantizar el funcionamiento adecuado de las operaciones normales y desarrollar dicha estrategia es un proceso complejo que implica un análisis de impacto empresarial y muy buenas evaluaciones de riesgo, debido a que la época en la que vivimos amerita la presencia de un plan de acción conciso, a fin de anticiparse a un desastre. Un plan BCDR efectivo no solo restaura sus datos empresariales, sino también minimiza el impacto de una posible interrupción en sus operaciones comerciales y le devuelve una buena posición a su empresa nuevamente ante una eventualidad de gestión de emergencia.

Uno de los peores aspectos que pueden ocurrirle a su negocio es el tiempo de inactividad, debido a que realmente lastima a su empresa, su reputación y flujo de trabajo y verdaderamente posee la capacidad de arruinar una organización completa y sus procesos organizativos, en caso de un desastre o eventos asociados. La evaluación de riesgos es una parte crucial en una buena estrategia BCDR y debe dirigirse a una mejoría constante a diario, porque como ya sabemos, siempre existe algo que se puede hacer mejor. En este caso, una estrategia BCDR profesional es una forma importante de seguro para su empresa e infraestructura tecnológica, y si su organización no tiene una estrategia BCDR, será imposible recuperar y reanudar las operaciones normalmente cuando ocurra un desastre. Por lo tanto, es muy importante que cada organización, grande o pequeña, cuente con procedimientos de recuperación y una buena continuidad empresarial para evitar cualquier pérdida de datos.

Tal como se ha mencionado, no existe un atajo a la felicidad, y usted debe contar con la mejor alternativa posible en materia de planificación de continuidad empresarial, proceso de recuperación y sistemas de recuperación que garanticen la operación normal de su empresa. Una cosa es segura, cada organización se encarga de crear estructuras y metas que alcanzar, razón por la cual la planificación de continuidad empresarial debe fundamentarse en requerimientos y estrategias individuales. Como ya sabemos, la planificación de recuperación ante desastres debe ser gestionada con un enfoque diferente para cada organización, independiente de la envergadura que tenga, el proceso de gestión de continuidad empresarial debe garantizar como mínimo que no se genere ninguna pérdida de datos. La recuperación ante desastres se enfoca en reducir el riesgo del impacto de un evento perjudicial y, mediante este conducto, una organización debiese equiparse para enfrentar cada posible situación de desastre que su empresa pueda enfrentar ante la irrupción de un desastre inminente.

Sin embargo, existen diversas áreas específicas en las que una organización debe enfocarse mientras implementan con eficiencia su estrategia continuidad empresarial y plan de recuperación ante desastres. La evaluación de riesgo y análisis de impacto comercial son dos de las operaciones y etapas de mayor relevancia que pueden contemplarse en la continuidad empresarial y un plan de recuperación ante desastres. Son como el corazón del plan que los líderes empresariales deben crear para su compañía y que una vez implementado, prepara el escenario para una rápida recuperación y protección de datos.

La evaluación de riesgo incluye cuatro situaciones de desastres vitales que una empresa u organización podría enfrentar y estas corresponden a: pérdida de acceso a la instalaciones, pérdida de datos, pérdida de funciones informáticas y pérdida de habilidades. Estos son los cuatro riesgos más importantes, a pesar de que puedan existir otros riesgos también. Por lo tanto, la función principal en una buena continuidad empresarial y estrategia puede definir procesos, calificar riesgos y abordarlos a tiempo. El plan de continuidad empresarial contempla evitar los riesgos con altas probabilidades e impacto, aceptar los riesgos con baja probabilidad e impacto, contener los riesgos con alta probabilidad y bajo impacto y planificar en torno a los riesgos con baja probabilidad y alto impacto. Una vez definidos estos riesgos, se puede realizar un análisis de impacto comercial de manera adecuada. Usted tendrá la certeza de que su organización sobrevivirá cuando ocurra un desastre, luego sabrá que puede depositar su confianza al disponer de un debido proceso de recuperación de datos, respaldo de datos y del mejor proceso en cuanto a la gestión de continuidad empresarial.

El análisis de impacto comercial determina la relación entre los diferentes riesgos y factores. Se evaluará el impacto que posee cada riesgo en las operaciones comerciales, rendimiento financiero y flujo de trabajo. Esto le brindará un panorama completo de los posibles riesgos, costo probable y del mejor objetivo de tiempo de recuperación, en caso de potenciales situaciones que impliquen un desastre. Usted determinará las áreas que requieren de un nivel más alto de protección, el nivel de tolerancia para los diferentes eventos disruptivos y los niveles de servicio de TI que se requieren para su organización.

A pesar del hecho de que la continuidad empresarial y una recuperación ante desastres parecieran ser sinónimos, existen diferencias entre estos conceptos. El plan de continuidad empresarial se enfoca más en acciones proactivas y generalmente se refiere a los procesos y procedimientos que cada empresa debe implementar y en garantizar que las funciones críticas puedan continuar durante el impacto de un desastre y tiempo después de que éste haya ocurrido. Esta área contempla una planificación exhaustiva en procesos organizativos nivelados a través de desafíos a largo plazo y el éxito de la organización.

Por otra parte, el plan de recuperación ante desastres es más reactivo y se encarga de definir más pasos específicos que su organización debe asumir a fin de reanudar sus operaciones y permanecer de esa forma durante y después de un desastre. La recuperación ante desastres implica adoptar medidas después de un incidente; los tiempos de respuesta y recuperación pueden variar de segundos hasta días. En otras palabras, la continuidad empresarial se enfoca en la organización y la recuperación de desastres se ocupa de la infraestructura tecnológica. Es un extracto en el cual los planes de continuidad empresarial se concentran para acceder a los datos de manera sencilla. Aunque también incluye gestión de riesgos y planificación para una organización, con el objetivo de mantenerse a flote durante un evento desastroso.

Si bien es cierto que tanto la continuidad como la recuperación ante desastres comparten similitudes, ambas consideran diferentes eventos no planificados como el error humano, ciberataques o desastres naturales. Su función es garantizar el objetivo de mantener las operaciones comerciales en funcionamiento tan cerca de la normalidad como sea posible.

Todos sabemos lo importante que es para cada organización tener un buen plan de continuidad y de recuperación ante desastres. Esto significa que su negocio tiene más probabilidades de mantener sus operaciones críticas en funcionamiento durante un desastre o ante cualquier evento desastroso. Los desastres naturales ocurren de manera inesperada, y resulta complejo o casi imposible predecirlos.

Entonces, realmente debe tener su organización protegida por medio de lo mejor en planes de gestión de continuidad empresarial y recuperación ante desastres. Tener éstas de su lado le brindará confianza y reducirá los plazos de recuperación y en este caso en particular, para alcanzar esta meta, cada plan de continuidad empresarial debe incorporar cinco elementos clave.

1. La gestión de riesgos y el potencial impacto comercial se basa en el análisis de impacto, el cual identifica los posibles riesgos y vulnerabilidades dentro y fuera de la empresa misma y determina el enfoque adecuado para las estrategias de recuperación necesarias. Estos riesgos pueden variar de distintas maneras, desde interrupciones de TI importantes a algo no tan perjudicial pero que aún supone un riesgo como una falla de un proveedor importante. Al tener conocimiento respecto a lo que su organización podría enfrentar en un futuro cercano, usted puede adoptar medidas para evitar y minimizar el riesgo. Los buenos planes de continuidad empresarial también utilizan el resultado de su análisis de impacto comercial para revelar los posibles daños y consecuencias de la interrupción que su organización podría enfrentar. Esto ampliará su perspectiva respecto a lo que podría esperar y el que costo que podría asumir, si dicho escenario se presentase.
2. Planificar una respuesta efectiva: una vez que se tiene consciencia de los posibles riesgos y amenazas a los que su empresa podría ser vulnerable, puede comenzar a elaborar su planificación de continuidad empresarial efectiva. Un plan de continuidad empresarial exhaustivo abordará cada riesgo identificado en el análisis de impacto comercial y generará el enfoque adecuado de respuesta para garantizar el resguardo de la continuidad comercial de su organización. Estos planes detallados describirán las acciones necesarias que deben ejecutarse y señalarán quién debe participar para implementarlas.
3. Roles y responsabilidades: para que una crisis o evento desastroso sea abordado con confianza, las personas clave de su equipo deben conocer sus roles y responsabilidades. Un plan de continuidad empresarial documentará qué tipo de personal esencial deberá involucrarse en la respuesta a la interrupción. Esto suele gestionarse gracias a los miembros experimentados del personal, pero depende de su empresa y del tipo de riesgo con el que esté lidiando. Los recursos y la planificación de continuidad empresarial con los que ya cuentan debiesen ser bastante claros para que éstos puedan determinar a qué se enfrentan y qué es exactamente con lo que están lidiando.
4. Otro aspecto importante radica en la comunicación, la cual es un elemento clave al momento de lidiar con los eventos desastrosos y seguir las mejores pautas de gestión de continuidad empresarial. Ya que la comunicación clara y efectiva es fundamental durante las interrupciones comerciales. La comunicación a lo largo de su organización puede tranquilizar a los miembros del equipo y brindarles la confianza necesaria en el proceso de continuidad empresarial ante una situación imprevista, de modo que puedan adoptar medidas efectivas para responder y recuperarse. Para preparar esto, un plan de continuidad empresarial generalmente incluirá una lista de contactos clave. Disponer de su implementación puede propiciar la comunicación y facilitar mucho más las cosas ante una eventualidad, garantizando que su personal y contactos externos mantengan el ritmo.
5. La realización de pruebas y la capacitación es otro de los factores relevantes al momento de mantener la mejor continuidad empresarial y recuperación ante desastres. Los planes de continuidad empresarial no son sólo teóricos, sino que también requieren de capacitación suficiente para lograr su implementación en un plan de recuperación ante desastres, de modo que su organización reanude sus operaciones habituales. Para cumplir este objetivo, el componente clave definitivo y más importante en un plan de continuidad empresarial es la realización de pruebas y la capacitación. El personal y equipos de recuperación pueden encargarse de simular situaciones realistas para probar el plan en situaciones de emergencia y la respuesta de su equipo. Al hacer esto, usted puede identificar en qué áreas se puede mejorar y actualizar y adoptar las medidas necesarias antes de que se presente una interrupción; puede lograr esto de manera más sencilla al implementar el debido sistema de gestión de continuidad empresarial. Muchas compañías llevan a cabo sesiones periódicas de capacitación en materia de consciencia y crisis ante desastre, dándole el mote de componente clave en el trato de estas situaciones. Se ha demostrado que la capacitación y simulación de estos eventos mejora la resiliencia de la compañía en general.

Su empresa fluye en torno a datos. Si tiene la poca fortuna de perder el acceso y no cuenta con un plan de recuperación ante desastre, de inmediato comenzará a sufrir el impacto de los costos, productividad e insatisfacción del cliente.

Por otra parte, si ya ha preparado un plan de continuidad empresarial y un plan de recuperación ante desastres, entonces gozará de la confianza de saber que su organización recuperará su funcionamiento habitual. Usted necesita implementar los siguientes 4 pilares de la continuidad empresarial.

1. Deberá proteger sus datos en cada nivel. Aplicaciones empresariales como MySQL, Exchange server e Hyper V funcionan como sistemas independientes. Vienen con sus roles de usuario, políticas de acceso y funciones de seguridad. Todos estos datos deben incluirse en su plan de respaldo. La protección de datos completa debe abarcar datos de archivo, datos de configuración, datos de aplicación y más allá.
2. Respaldo de sus copias de seguridad. La mayoría de los profesionales en el área de informática están al tanto de la importancia de este aspecto; también existe una regla para el método respaldo 3-2-1. Mantenga 3 copias de cualquier dato importante que no pueda permitirse perder. La segunda afirma que dentro de las instalaciones usted debe usar dos medios de almacenamiento, por ejemplo, disco duro y unidad USB, dispositivo NAS y servidor de nube. Y la última regla de esta estrategia dicta que debe conservar 1 copia almacenada en una ubicación externa.
3. Almacene las copias en diversas ubicaciones. Tal como discutimos anteriormente, es muy importante mantener sus copias de seguridad en lugares diferentes. Debería siempre conservar una copia de sus datos en su dispositivo NAS local, otro en su sitio de respaldo y una tercera en al nube. Este es un ejemplo de cómo asegurarse de mantener sus datos protegidos con confianza y estar seguro de que no habrá problemas en su plan de recuperación ante desastres.
4. Debe establecer metas de recuperación lógicas. En el momento en que ocurre un desastre usted desea recuperarse del entuerto lo más rápido posible. Puede darse una mano a sí mismo gracias a una buena planificación de recuperación ante desastre y trazar el camino hacia la recuperación estableciendo metas de recuperación específicas. El objetivo de punto de recuperación y objetivo de tiempo de recuperación son fundamentales para la planificación de continuidad empresarial. A pesar de que su nombre así lo sugiere, respecto a su similitud, poseen importantes parámetros de diferencia entre ellos en cuanto a la recuperación ante desastres, lo cual cumple una función relevante en la consecución de los mejores planes de recuperación ante desastres. El objetivo de punto de recuperación se refiere al periodo máximo de tiempo en el cual los datos no se pierden durante una interrupción. Este parámetro es esencial para determinar con qué frecuencia usted necesita respaldar sus datos. Si establece un RPO a ocho horas para cumplir dicho objetivo, usted debe ejecutar un respaldo al menos una vez cada ocho horas para cumplir sus planes de recuperación ante desastres. El objetivo de tiempo de recuperación se refiere al tiempo específico designado para recuperarse de un accidente y mantener su plan de continuidad empresarial. En otras palabras, esto significa por cuánto tiempo una organización puede permitirse estar fuera de funcionamiento antes de que su negocio se vea afectado de manera adversa. Por ejemplo, si usted establece su objetivo de punto de recuperación en cinco horas, esto significa que tendrá cinco horas para volver a activar sus servidores, o servicios de telecomunicación o red. Cuando se utilizan de manera correcta RPO y RTO, ambos pueden aportar un nivel de mejoría clara asociada a una orientación calculada cuando se trata de responder a un evento desastroso.

La planificación de continuidad empresarial va más allá del componente tecnológico. Combina e involucra varios procesos a corto y largo plazo, tal como la respuesta, reanudación, recuperación y el mantenimiento de la organización en su totalidad. Existen ocho pasos importantes en la creación de un plan de continuidad empresarial.

1. Identificar el alcance del plan.
2. Identificar las áreas comerciales clave.
3. Identificar la función crítica clave.
4. Identificar las dependencias entre la variedad de áreas y funciones comerciales.
5. Determinar el tiempo de inactividad aceptable para cada función crítica.
6. Poner a prueba su plan de continuidad empresarial.
7. Crear un plan para mantener las operaciones.
8. Revisar y mejorar su plan de continuidad empresarial.

Aquí tenemos siete pasos clave en la creación de un plan de recuperación ante desastres.

1. Crear un equipo de respuesta ante desastres.
2. Identificar operaciones críticas y establecer metas.
3. Evaluar potenciales situaciones de desastre.
4. Tener un plan de comunicación.
5. Establecer roles y diferentes responsabilidades.
6. Desarrollar planes de respaldo y de recuperación ante desastres.
7. Probar su plan, revisar y actualizar su plan.

La planificación de continuidad empresarial es un componente fundamental en la ciberseguridad, pero ¿su organización cuenta con un sistema que contemple sus cuatro fases? La amenaza de filtraciones de datos acecha a todas las organizaciones y un incidente o desastre natural de proporciones mayores podría causar un daño irreparable. Es por esto que cada organización o empresa necesita de un plan de continuidad empresarial. Este contiene un conjunto de procesos que ayudan a las organizaciones a responder ante incidentes destructivos, ciberataques causados por terceros o desastres naturales.

1. Respuesta inicial: lo primero que debe hacer cuando descubre una interrupción es calcular la gravedad del daño que se ha producido. ¿Qué sistemas y ubicaciones están inaccesibles? ¿Existe algún tipo de información que esté comprometida? A modo de respuesta adecuada, su plan de continuidad empresarial incluirá acciones que deberán tomarse ante diferentes situaciones, por lo que sólo necesitará alinear el daño con el enfoque y respuesta adecuados.
2. Reubicación: el próximo paso necesario es mover los archivos y áreas que han sido perjudicados fuera del alcance del daño. Al igual que ocurre con la respuesta inicial, su plan de continuidad empresarial debería incluir detalles específicos y acciones en base a cada situación.
3. Una vez que haya localizado y aislado el área perjudicada, es momento de corregir el problema. Usted puede hacerse cargo de algunas interrupciones, pero en la mayoría de los casos se requiere de un experto que ayude a superar el problema y a prevenir cualquier pérdida de datos.
4. Restauración: una vez que el proceso de recuperación se haya completado, su organización puede volver a operar como antes. Pero primero, deberá verificar y confirmar que la recuperación fue exitosa, lo cual se realiza por medio de una prueba. Si todo resulta bien en la prueba, puede volver a poner todo en su lugar habitual.

No cabe duda respecto al hecho de que el tiempo de inactividad se traduce en pérdidas monetarias, que suelen ser inmensas para cada organización cada vez que algún imprevisto ocurre y su empresa es incapaz de seguir operando como debiese. El costo es variable para cada organización dependiendo del tamaño y naturaleza de cada negocio, así como de la duración del periodo de inactividad. Conforme a las últimas encuestas, que incluyó encuestados en todo el mundo, 30% informó que el costo por tiempo de inactividad promedio por hora en sus servidores varió entre $310,000 y $400,000 y estamos hablando de un promedio por hora. Ya puede comenzar a imaginar lo devastador que puede ser una prolongación en la inactividad, a raíz de dichas respuestas.

Mientras tanto, otra encuesta reveló que el costo promedio de una falla en la infraestructura era de $110,000 por hora. Es más, el costo promedio del tiempo de inactividad no planificado de una aplicación y servidor varía entre los $1.4 mil millones a $2.1 mil millones al año

Para las empresas más pequeñas se informó que el costo por periodo de inactividad por hora variaba entre $35,000 a $50,000, esto lleva a la conclusión de que nadie está preparado cuando se presenta un imprevisto. Y la única manera de reducir los riesgos y el costo para su empresa es tener el mejor plan de continuidad empresarial y recuperación ante desastres posible. Esta es la única forma de atravesar momentos de dificultad sin pasar zozobras, siendo la copia de seguridad un salvavidas ante este tipo de situaciones.

Tal como lo discutimos anteriormente, un plan de recuperación ante desastres actúa como salvavidas y protege sus empresas ante circunstancias imprevistas. Por otra parte, los planes de continuidad empresarial apuntan a agilizar los procesos después del daño percibido o de un desastre. Ayuda con la implementación de una estrategia que no perjudica las actividades y operaciones y garantiza el funcionamiento sin problemas dentro de una organización. Por lo tanto, el vínculo entre continuidad empresarial y recuperación ante desastres está conectado y ante la ausencia de uno de los mencionados, sería imposible llevar a cabo la recuperación de su empresa en caso de que se presenten amenazas no deseadas o inesperadas.