Plan de

recuperación
ante desastres
Guía rápida
 Protección de las instalaciones y recursos del
centro de datos para asegurar la estabilidad de la
organización.

Protección de la información.

Incremento en la disponibilidad de los recursos.

Certeza en el trabajo correcto de los sistemas de

soporte y respaldo.

Minimiza la toma de decisiones ante una conti-

gencia y así actuar rápidamente.

Identifica los diversos eventos que podrían im-

pactar sobre la continuidad de la operación.

Previene o minimiza las pérdidas para el negocio

en caso de desastre.
 El proceso de realización, ejecución y validación del
DRP, constituye una de las prioridades; en la pirámi-
de de necesidades empresariales de cualquier
organización, que fundamente sus procesos en
tecnologías de información.
Contar con un plan de recuperación ante desastres,
es solo una pieza del rompecabezas del Plan de
Continuidad de Negocios, sin embargo; el grado de
complejidad de un BCP, (por sus siglas en inglés,
Business Continuity Plan), ha generado una con-
centración y enfoque en establecer al menos las
acciones precisas a ejecutar ante una eventualidad
en el área de TI. Considerando este apunte, la tarea
primordial del diseño de un DRP, es enumerar y
considerar los escenarios en los cuales es valida su
ejecución, estos parámetros deberán de ser esta-
blecidos por variables, que no necesariamente
competen exclusivamente al departamento de tec-
nologías de la información, preferencialmente de-
berán estar dictaminados por el impacto en costo
para el negocio, la viabilidad operativa y financiera,

condiciones climáticas y meteorológicas, además de elementos clave como

responsabilidad con clientes, proveedores y la comunidad en general.

El primer paso en el proceso de diseño de un BCP, es abarcar todos los sec-

tores del negocio, dando con más énfasis en aquéllos donde la disponibilidad
de la información es su mayor activo, de esta manera habrá que considerar
los elementos arriba mencionados y establecer una prioridad de su recupera-
ción y posterior restablecimiento a la normalidad. Este análisis conocido
como BIA (Business Impact Analitycs), deberá de ser promovido por el área
de Tecnologías de Información, pero deberá de contar con la priorización que
establezcan los niveles “C” de las organizaciones.

Como todo proceso se deben de involucrar determinados pasos obligatorios

para garantizar un diseño adecuado y funcional.

www.inbest.me
1.1 Fase de Análisis y Evaluación de Riesgos ( Diagnóstico)
2 Modelaje de Escenarios
3 Selección de Estrategias
4 Evaluación financiera y viabilidad operativa
5 Desarrollo del plan.
6 Pruebas y certificación.
7 Gestión del control de cambios
8 Mantenimiento del plan.

La ejecución de estos pasos obligatorios, desencadenará la modificación,

adaptación y adopción de procesos que deben ser ejecutados de forma siste-
mática, considerando su debida documentación y publicación para que los
equipos de trabajo actúen en consecuencia del plan y de los objetivos empre-
sariales. Las modificaciones del proceso organizacional deberán estar deter-
minadas en cumplir los siguientes ejes.

1 Determinación de equipos de trabajo

2 Roles y funciones del equipo de trabajo
3 Protocoles de comunicación
inter-departamento
4 Control y gestión de la crisis.
5 Mantenimiento y repetición

Determinados los ejes del proceso organiza-

cional la estructura que debe determinarse
para los equipos interdisciplinarios tendrá
como su responsabilidad protocolizar la co-
municación hacia los altos directivos de la
compañía, teniendo que establecer el proceso
de elaboración de las acciones que puedan
exceder las estrategias de respuesta, analiza-
das y sugeridas, así como los casos en los que

www.inbest.me
la alta dirección deberá de involucrarse directamente en la toma de decisiones
de último momento, o imprevistas, siendo esto determinante en el estableci-
miento de los limites del ámbito de autoridad y responsabilidad de los pues-
tos encargados.

Las consecuencias de no tener un plan de recuperación y sufrir un accidente

que imposibilite su operación, pueden llegar a ocasionar incluso el cierre de
algunas empresas.
Algunas cifras tomadas de la Cámara de Comercio de Londres son:
• Un 43% de las organizaciones después de un accidente no podrán continuar
sus operaciones viéndose obligadas a cerrar.
• Un 80% tendrán que hacerlo en menos de 13 meses.
• Un 53% de los clientes de estas organizaciones no recuperarán las pérdidas
causadas por los daños derivados.
• Un 50% se verán forzadas a cerrar antes de cinco años después del desastre.

Fuente: Cámara de Comercio de Londres

En el proceso de realización de un DRP algunos de los beneficios más tangi-
bles que se pueden sintetizar son los siguientes.
· Proteger la organización: protección de las instalaciones y recursos del
centro de datos para asegurar la estabilidad de la organización. Resguardando
el activo más importante en la actualidad. LA INFORMACIÓN.
· Minimizar el riesgo de demoras: asegurando que cada recurso esta dis-
ponible cuando se necesita.

· Fiabilidad garantizada: un plan actualizado y probado provee la certeza

que los sistemas de soporte y respaldo trabajarán efectivamente.

· Minimizar la toma de decisiones durante un desastre: Durante una situa-

ción de desastre altamente estresante, la toma de decisiones críticas llega a
ser exponencialmente más compleja como resultado directo del corto período
disponible para reaccionar.

www.inbest.me
· Proveer un sentido de seguridad: El conocimiento y la certeza de que se
cuenta con alternativas para la continuación de las operaciones trasmite con-
fianza a los empleados, al equipo de administración, a los clientes, a los asegu-
radores así como a los inversionistas.

· Identifica los diversos eventos que podrían impactar sobre la continui-

dad de las operaciones y su impacto financiero, humano y de reputación
sobre la organización.

· Obliga a conocer los tiempos críticos de recuperación para volver a la

situación anterior al desastre sin comprometer al negocio.

· Previene o minimiza las pérdidas para el negocio en caso de desastre.

· Clasifica los activos para priorizar su protección en caso de desastre.

· Aporta una ventaja competitiva frente a la competencia.

En caso práctico de negocio un DRP asegura y debe de tener como alcance el

máximo nivel de continuidad operativa por parte de la empresa, de tal forma
que este nivel máximo permita no interrumpir operaciones, dar certidumbre
de información y genere las menores pérdidas posibles hacia la organización.
La prevención o el plan de recuperación, no solo abarcar los términos de inci-
dentes de alta gravedad como podrían ser daños naturales, destrucción
masiva o similares, si no que por el contrario considera dentro de su ámbito
de acción vulnerabilidades de alto impacto, alta probabilidad y que no necesa-
riamente implican grandes daños físicos, de esta manera será preponderante
tener en la visión detalles de los diferentes escenarios a considerar, a conti-
nuación se enumeran algunos:

www.inbest.me
· Incidentes serios de seguridad en los sistemas, como delitos cibernéti-
cos, pérdida de información, robo de información sensible o su distribución
accidental, fallos en los sistemas IT, errores de operación en los sistemas, etc.
· Daños en las infraestructuras o en los servicios, fallos en el suministro
eléctrico, fallos en el suministro de agua, fallos en las comunicaciones, huelgas
en los servicios de limpieza.
· Fallos en los equipos o en los sistemas, incluyendo fallos en las fuentes
de alimentación, en los equipos de refrigeración.
· Daños deliberados como actos de terrorismo o de sabotaje, guerras,
robos, huelgas, etc.

Estos tipos de incidentes abarcan más del 80% de las posibilidades viables de
desastres a los cuales se debe referir las acciones de seguridad de la empresa.

A raíz de estos antecedentes la necesidad imperativa de contar con un DRP y

considerando sus beneficios, es fundamental iniciar sobre la ejecución de un
diagnóstico de estructura informática y procedimental, sobre el actuar de los
elementos de la empresa en función de reaccionar de manera pro-activa y
preventiva.

· Aumentar la probabilidad de continuidad de las funciones críticas de la

organización en caso de que un incidente interrumpa las operaciones informá-
ticas en las que se apoyan.

· Proporcionar un enfoque organizado y consolidado para dirigir activida-

des de respuesta y recuperación ante cualquier incidente o interrupción de
trabajo imprevista, evitando confusión y reduciendo la situación de tensión.

www.inbest.me
· Proporcionar una respuesta rápida y apropiada a cualquier incidente im-
previsto, reduciendo así los impactos resultantes de interrupciones de trabajo
a corto plazo.

· Recuperar las funciones críticas de negocio de manera oportuna, aumen-

tando la capacidad de la organización para recuperarlas ante un incidente que
haya dejado las instalaciones informáticas dañadas o destruidas

· Aumentar la probabilidad de continuidad del servicio informático de la

organización en caso de que un incidente interrumpa sus operaciones norma-
les.

· Reducir el impacto, tangible o intangible, en las áreas funcionales como

consecuencia de una interrupción del servicio informático.

· Realizar la recuperación de las funciones críticas, mediante el desarrollo

de los procedimientos necesarios para:
o Reducir la duración de la recuperación
o Minimizar el costo de la recuperación.
o Evitar la confusión y reducir el riesgo de errores
o Evitar la duplicación de esfuerzos.

De esta manera se requiere la organización de equipos en los siguientes con-

ceptos.

1) Comité de Crisis: Encargado de dirigir las acciones durante la contingen-

cia y la recuperación. Es importante definir en este comité, los puestos encar-
gados de formarlo, y las actividades que podrán ser ejecutadas por cada
puesto, la intención es disminuir en un alto porcentaje las decisiones que
puedan ser tomadas durante la marcha de la contingencia.

www.inbest.me
 Análisis de la situación.
Decisión de activar o no el plan de Recuperación.
Iniciar el proceso de notificación a los empleados a través de diferentes res-
ponsables.
Seguimiento del proceso de recuperación, con relación a los tiempos esti-
mados de recuperación.

Su función es restablecer todos los siste-

mas necesarios ( voz, datos, comunicaciones, etc..). Su amplitud recaerá en lo
siguiente.
· Todos los servicios y servidores
· Servicios a usuario final (telefonía, PC’s, conectividad)
· Servicios a proveedores ( si aplica), restauración de sitio web etc.

Responsable de toda la logística necesaria en el

esfuerzo de recuperación
· Transporte de material y peronas (si es necesario) al lugar de recupera-
ción.
· Suministros de oficina
· Comida
· Reservación de espacios físicos necesarios (hoteles, salas de reunión,
etc..)
· Contacto con los proveedores y clientes.

Encargados de la realización
de pruebas que verifiquen la recuperación de los sistemas críticos. Su princi-
pal función es mantener apegados a normatividad las estrategias de recupera-
ción y restauración, así como de planear, informar y documentar los resulta-
dos de las pruebas ejecutadas de manera periódica.

www.inbest.me
 Encargado de las comunicaciones a
los clientes internos y externos de la organización.

El personal asignado podrá ser variable, o inclusive dependiendo del tamaño

de la organización una persona puede pertenecer a más de un equipo, siem-
pre y cuando no existan incompatibilidad en las tareas a realizar.

Siguiendo por el lado procedimental, la estrategia de recuperación requiere

considerar los escenarios en donde se mitigará la interrupción dependiendo
los parámetros de disponibilidad y costos asociados, de esta manera depen-
diendo estas funciones de negocio. El Cliente puede determinar lo siguiente.
este tipo de actuación podrá utilizarse en aquellas fun-
ciones o actividades donde se clasificaron como NO URGENTES, o que el
impacto económico es demasiado bajo y no se encuentra dentro de las priori-
dades y jerarquías de la organización. El comité de crisis deberá de tener claro
estos escenarios y comunicarlos, a forma de no tener consideradas acciones
y/o tareas en arrancar el proceso de DRP

. Ante una
contingencia menor, poder hacer uso efectivo de otras áreas de la misma
organización para responder ante un accidente, o en su caso, re-utilizar servi-
cios o servidores con los que actualmente se cuentan. En este caso puede
caer también la re-ubicación de personal con funciones no urgentes en tareas
que requieren mayor responsabilidad y/o prioridad.

Establecer modelos de operación que le permitan a

la organización y puestos específicos el trabajo desde oficinas satélites, o en
ubicaciones NO parte de la empresa, tales como puede ser casa, café internet,
o cualquier otro, siempre y cuando no interrumpa ni dañe la información y
confidencialidad de la empresa.

www.inbest.me
 Acuerdos entre dos empresas
( o dos unidades de negocio de la misma compañía) con características de
equipamiento similar, que permitía a cada una de las partes recuperar funcio-
nes en la otra localización. En este caso es importante la definición de las con-
diciones de uso y la realización de pruebas periódicas para asegurar las condi-
ciones pactadas.

Contratación con compañías especializadas de es-

pacios alternativos para la recuperación de la actividad. En este caso hay que
asegurar que estas compañías pueden proporcionar unos tiempos de recupe-
ración acordes con las necesidades de la organización. Este tipo de compa-
ñías pueden proporcionar diferentes soluciones:

: Se garantiza la disponibilidad inmediata del espacio.

En contrapartida este servicio es más caro que otras alternativas.
Se comparte el espacio con otras compañías. Es
más barato que un centro dedicado.
Se pueden utilizar rápidamente, pero tienen un espa-
cio limitado.
Pueden tardar unos días en estar disponibles
para su uso.
El uso de las nuevas tendencias tecnológicas, donde
se tiene un espacio virtual ilimitado a imagen de la infraestructura actual de la
organización, permitiendo un restablecimiento de servicio de manera casi
inmediata a un bajo costo. Aunque se genera alta dependencia de la infraes-
tructura de red y enlaces.

www.inbest.me
 Solución que permite trasladar de forma inmediata
la operación y continuar la actividad de forma inmediata. También puede de-
nominarse “centro espejo”. Esta solución normalmente la más cara, pero tam-
bién la mejor solución en el caso de que se necesite un recuperación rápida de
la operación. Es un esquema similar a Cloud, pero tiene una administración
centralizada en la misma organización, posee los mismos riesgos y mismas
dependencias, el costo puede llegar a ser más alto.

La siguiente tabla sugiere el modelo para tomar la decisión de la estrategia de

mitigación.

www.inbest.me
Una vez que se hayan definido los equipos y se hayan establecido las funcio-
nes que debe desempeñar cada equipo, tenemos que desarrollar los procedi-
mientos que van a seguir, y su actuación en cada una de las fases de activa-
ción del Plan de Continuidad.

• Procedimiento de notificación del desastre.

• Procedimiento de lanzamiento del Plan
• Procedimiento de notificación de la puesta en marcha del Plan a los equipos
implicados.

• Procedimiento de concentración de equipos.

• Procedimiento de traslado y puesta en marcha de la recuperación.

• Procedimientos de restauración.
• Procedimientos de soporte y gestión.

• Análisis del impacto.

• Procedimientos de vuelta a la normalidad.

www.inbest.me
En el siguiente esquema podemos ver las fases que componen el Plan de Con-
tinuidad de Negocio:

Notificación de Desastre
Análisis de impacto Lanzamiento del Plan
Procedimiento de Puesta en marcha y
Vuelta a la normali- responsabilidad
dad de equipos
Fasde de Fase
Normalidad Alerta

Fase de Fase de
Recuperación Transición
Procedimiento de
restauraciión "
Concentración de
Procedimiento de
equipos
soporte y aplicacio- Traslado y puesta en
nes marcha del centro de
recuperación

La Fase de Alerta define los procedimientos de actuación ante las primeras

etapas de un suceso que implique la pérdida parcial o total de uno o varios
servicios críticos. Dividiremos esta fase en tres partes:
Define cómo y quién debe ser informado en primera instancia
de lo ocurrido.
Análisis de la situación y valoración inicial de los daños. Defini-
ción de estrategias.
: Decisión del equipo director de disparar el Plan debido
al alcance de los daños.

www.inbest.me
Dado que no es posible confeccionar un Plan de Alerta que dé cabida a todos
los casos que resultan de suponer que cualquier persona pueda dar aviso de
un incidente, vamos a suponer que la persona que descubre la contingencia
será un empleado o cualquier otra persona próxima al lugar donde ocurre el
incidente. Como parte del Plan de Continuidad se debe establecer un progra-
ma de concienciación, en el que se informe debidamente al personal de cómo
actuar ante estos casos y a quién comunicar lo ocurrido.

Una vez que un miembro del Comité de Crisis es contactado e informado del
incidente, procederá a evaluar la situación con la recopilación de la mayor
información posible. El Comité informará a los responsables de los distintos
equipos de lo ocurrido y de la situación en ese momento para que permanez-
can en situación de espera, hasta que se tome la decisión de disparar el Plan o
iniciar otro tipo de estrategia.

www.inbest.me
Una vez que el Comité de Crisis ha decidido poner en marcha el Plan de Recu-
peración, debe de iniciarse el árbol de llamadas para comunicar a los Respon-
sables y componentes de cada equipo la situación de inicio de las actividades
del Plan para comenzar los procedimientos de actuación de cada uno de ellos.
Deberá informarse también al Comité de Dirección.

La Fase de Transición es la fase previa a la de recuperación de los sistemas. Es

importante que en esta fase exista una coordinación entre los diferentes equi-
pos y equipos de logística, ya que son éstos los encargados de que todo esté
disponible para comenzar la recuperación en el menor tiempo posible.

Mario Rodrígue
www.inbest.me
Podemos dividir la fase de transición en dos partes principalmente:
• Procedimientos de concentración y traslado de personas y equipos.
• Procedimientos de puesta en marcha del centro de recuperación.

Ambos procedimientos son la base del proceso de recuperación de los siste-

mas. Si esta parte falla, no será posible comenzar la recuperación, y por tanto
el Plan de Continuidad fallará.
A continuación pasamos a describir de manera detallada cada uno de los pro-
cedimientos y equipos que deben interactuar en esta fase de transición.

Procedimientos de concentración y traslado de material y personas

Dependiendo de la solución final que se decida como estrategia de respaldo,
este procedimiento puede variar. Realizaremos una descripción general de los
procedimientos, que podrá completarse una vez que se tome una solución
definitiva.

Una vez avisados los equipos y puesto en marcha el Plan, deberán acudir al
centro de reunión. En el caso de que la emergencia se declare en horas de
trabajo, se tomará como punto de encuentro los lugares designados en el Plan
de Emergencia. Si el incidente ocurre fuera del horario de trabajo, el lugar de
reunión será el designado como centro de respaldo, o cualquier otro designa-
do por el Comité de Dirección de Crisis.
Además del traslado de personas al centro de recuperación (si es necesario)
hay que realizar una importante labor de coordinación para el traslado de
todo el material necesario para poner en marcha el centro de recuperación
(cintas de backup, material de oficina, documentación, ...)

Procedimientos de puesta en marcha del centro de recuperación

Una vez concentrados los distintos equipos que van a intervenir en la recupe-
ración, y con todos los elementos necesarios disponibles para comenzar la
recuperación, hay que poner en marcha este centro, estableciendo la infraes-
tructura necesaria, tanto de software como de comunicaciones, etc.

Alejandra Villa Mario Rodrígue

www.inbest.me
Una vez que hemos establecido las bases para comenzar la recuperación, se
procederá a la carga de datos y a la restauración de los servicios críticos. Este
proceso y el anterior suele precisar los mayores esfuerzos e intervenciones
para cumplir con los plazos fijados.
Podemos dividir esta fase en dos:

• Procedimientos de Restauración
• Procedimientos de Gestión y Soporte

Procedimientos de Restauración
Estos procedimientos se refieren a las acciones que se llevan a cabo para res-
taurar los sistemas críticos.

Procedimientos de soporte y gestión

Una vez restaurados los sistemas hay que comprobar su funcionamiento, reali-
zar un mantenimiento sobre los mismos y protegerlos, de manera que se rea-
nude el negocio con las máximas garantías de éxito. Los integrantes del
equipo de unidades de negocio serán los encargados de comprobar y verifi-
car el correcto funcionamiento de los procesos.

Una vez con los procesos críticos en marcha y solventada la contingencia,

debemos plantearnos las diferentes estrategias y acciones para recuperar la
normalidad total de funcionamiento. Para ello vamos a dividir esta fase en
diferentes procedimientos:
• Análisis del impacto.
• Procedimientos de vuelta a la normalidad

Alejandra Villa Mario Rodrígue

www.inbest.me
El análisis de impacto pretende realizar una valoración detallada de los equi-
pos e instalaciones dañadas para definir la estrategia de vuelta a la normali-
dad.

Procedimientos de vuelta a la normalidad

Una vez determinado el impacto deben establecerse los mecanismos que en
la medida de lo posible lleven a recuperar la normalidad total de funciona-
miento. Estas acciones incluyen las necesidades de compra de nuevos equi-
pos, mobiliario, material, etc.

Una vez solventado el incidente y vuelto a la normalidad, cada equipo deberá

realizar un informe de las acciones llevadas a cabo y sobre el cumplimiento de
los objetivos del Plan de Continuidad, los tiempos empleados, dificultades con
las que se encontraron, etc.

Alejandra Villa Mario Rodrígue

www.inbest.me
 Agenda una asesoría GRATUITA

¿Tienes alguna pregunta?

Envía un correo a nuestros expertos

Mario Rodríguez Alejandra Villa

Conoce nuestro sitio

Síguenos en facebook Haz conexión Síguenos en twitter

Powered by