¿Qué es un DRP o Plan de Recuperación de Desastres? ¿Por qué lo necesito?

Un DRP es un documento donde se expresan pasos e instrucciones a seguir en caso de algún desastre o acontecimiento inesperado que impacte al negocio o su continuidad.

Este evento inesperado no tiene por qué ser únicamente un problema técnico, también puede ser un desastre natural o un error humano.

En este documento se deben incluir los pasos a dar ante los diferentes problemas que puedan originar la activación del plan de contingencia. Entre otros, podrían ser:

• Corte de energía.

• Cortes de sistema telefónico.

• Incendio, inundación, terremoto, actos vandálicos o terroristas.

• Deterioro físico de la infraestructura (como caída de un muro).

• Otras causas que, por críticas o inesperadas, puedan suponer la detención del negocio (como un #ransomware o la rotura de un servidor)

¿Cuáles son las consecuencias de no disponer de un DRP?

Son varios los motivos y todos te afectarán al bolsillo. Desde unos pocos miles de euros hasta el cierre de tu negocio. Entre otros caben destacar:

• Pérdidas de costes fijos: Es decir, los salarios de los empleados, alquileres, suministros, etc.

• Pérdida de ingresos: Esto es de cajón. Si tu empresa está parada no produces. Si no produces, no facturas.

• Pérdida por clientes perdidos: Si la duración de tu tiempo de recuperación es muy elevado, corres el riesgo de que tus clientes busquen otro proveedor.

• Pérdida de reputación: Esta es una pérdida intangible e incuantificable pero, sin duda, también te afectará en mayor o menor medida a tu negocio.

• Pérdidas por reposición o reparación: Todo aquello que se haya podido estropear o corromper habrá que reponerlo.

¿Qué pasos hay que tomar para implementar un DRP?

Antes de la redacción de este documento la compañía debe haber desarrollado un BCP o Plan de Continuidad de Negocio. Aquí es donde la directiva y el departamento de IT (o proveedor de IT) deben trabajar conjuntamente.

Esto permitirá distinguir sistemas críticos de aquellos que no son tan importantes y configurar los conceptos de RPO, RTO, WRT y MTD de forma correcta y, también, ajustarlos al presupuesto disponible:

• RPO - Recovery Point Objective: Determina la cantidad máxima aceptable de pérdida de datos que la empresa se puede permitir. Es decir, el tiempo entre la última copia de seguridad y el momento del desastre.

• RTO - Recovery Time Objective: Es el tiempo que pasa desde que el sistema se recupera y vuelve a estar en línea aunque aún no disponible. Como ejemplo: restaurar datos de una copia de seguridad.

• WRT - Working Recovery Time: Por definición este sería el tiempo máximo que la empresa podría tolerar desde que termina el proceso de RTO hasta que todos los sistemas han sido testeados para correcta ejecución.

• MDT - Maximum Tolerable Downtime: Sería la suma del RTO y el WRT. Es decir, el tiempo máximo que tu departamento de TI o tu proveedor tardan en tener los sistemas funcionales desde el momento del desastre.

En mi experiencia, es de vital importancia tanto disponer de un Plan de Continuidad de Negocio y un Plan de Recuperación de Desastres correctamente diseñado.

Aparte de eso mi consejo es realizar, por lo menos, una prueba anual de funcionamiento. Es decir, no sólo tenerlo pensado y escrito, también probar que somos capaces de recuperar los sistemas ante una situación de desastre.

Una vez realizados estos DRP, bien como simulacro o bien por contingencia real, se debe evaluar el resultado del mismo con objeto de proponer mejoras para la mejora de RTO y RPO.

Para una mayor tranquilidad tu empresa puede contar con DRaaS - Disaster Recovery como Servicio.

Consúltame cómo podemos hacerlo