En este post hablaremos de las razones por las que nuestras empresas deben contar con Planes de recuperación ante desastres (DRP, por sus siglas en inglés), sin entrar en la profundidad teórica de su significado.
Por lo general, en nuestra industria de TI siempre se habla de mantener un Plan de recuperación ante desastres y, a su vez, hay muchas variables para utilizar un DRP apropiado y que se aplique perfectamente al negocio de la empresa.
Además, existen muchas soluciones, ya sean software o hardware que permiten realizar y/o configurar un DRP, pero ¿cuáles son las variables para considerar? ¿Qué activos de la empresa y personal deben involucrarse? Además, ¿cuál es el objetivo de mantener un DRP? ¿Solo debe ser aplicado a los servicios provistos por TI? ¿O también puede ser un plan asociado a flujos de trabajo físico?
¿Qué es un Plan de recuperación ante desastres y cómo funciona?
Un Plan de recuperación ante desastres es un proceso o flujo de trabajo que nos permite realizar la recuperación de los datos, ya sean de soluciones físicas o software, para que la empresa pueda comenzar nuevamente a funcionar después de un desastre natural, error humano o, como vemos hoy en día, ataques hacia los sistemas con ransomware.
Es necesario mantener un Plan de recuperación ante desastres actualizado y comunicado con todas las áreas claves de la empresa, manteniendo una constante capacitación al personal en caso de que alguna amenaza ataque directamente los sistemas de TI.
Por lo general, un Plan de recuperación ante desastres funciona de la siguiente forma:
Este esquema muestra que inicialmente (1) nos afecta algún tipo de desastre de los que tenemos identificados, luego se notifica (2) al personal directamente involucrado en la gestión de ese desastre y se debe evaluar (3) si es necesario aplicar el Plan de recuperación ante desastres, ya que (por ejemplo) el desastre podría ser resuelto rápidamente. Luego, si el desastre lo amerita, aplicar el Plan de recuperación ante desastres (4), con el fin de poner en marcha todas las acciones necesarias para el funcionamiento de la empresa o negocio en contingencia (5) y, mientras se está en contingencia, realizar las acciones correctivas para volver a la operación normal y lograr la recuperación completa (7). Por lo general, lo anterior sería un funcionamiento de aplicación del DRP; por supuesto, puede contener más pasos de acuerdo con el diseño de cada uno de los DRP de cada empresa o negocio.
Las diferencias entre el Plan de recuperación ante desastres y la continuidad del negocio
Una de las grandes diferencias entre un DRP y uno de continuidad del negocio (BCP), es que el primero esta acotado directamente a los procesos e infraestructura de TI, ya que se enmarca dentro de un proceso de BCP; es decir, el DRP integra el BCP, ya que éste último puede contener múltiples planes para la recuperación de la empresa en caso de algún tipo de desastre.
¿Qué debe incluir un Plan de recuperación ante desastres?
Un Plan de recuperación ante desastres debe tratar de incluir todos los activos de la compañía, ya que el desastre no solamente afecta a las áreas de TI. Por ejemplo, en caso de que TI tenga algún problema, ¿cuál sería el DRP para emitir boletas o tickets físicos? Es por ello que siempre se deben considerar todos los aspectos y departamentos de la empresa claves, para que en el peor de los casos, el negocio no se detenga y sea posible seguir operando.
Además, se debe considerar todos los tipos de desastres que pueden afectar a la empresa o negocio, ya que dependiendo de la naturaleza de la amenaza es como el Plan de recuperación ante desastres debe actuar para seguir operando el negocio. También es necesario considerar el impacto, en caso de desastre, en términos del negocio hacia la empresa para realizar las contenciones pertinentes, como por ejemplo, coordinar con el área de marketing un comunicado a los usuarios y/o clientes sobre la aplicación de nuestro Plan de recuperación ante desastres.
Y siempre se deben mantener identificadas las áreas y/o personas de la empresa quienes son los tomadores de decisiones en caso de desastres y los que organizaran la ejecución del Plan de recuperación ante desastres: tener fácil acceso a los números de teléfono, correo y direcciones de cada una de las personas claves para obtener ayuda o ejecutar alguna acción, por poner un ejemplo.
¿Cuáles son los pasos del Plan de recuperación ante desastres?
Cuando se define un DRP, siempre se debe establecer la estrategia y/o objetivo de recuperación para determinar cuáles son las áreas y aplicaciones más importantes que deben funcionar en caso de desastre. Después es necesario asignar responsabilidades y realizar un levantamiento de información de las aplicaciones clave para identificar las relaciones existentes entre ellas, con el fin de tener la información de la comunicación entre las aplicaciones en caso de desastre.
Y lo más importante, incluyendo capacitación y pruebas periódicas de los Planes de recuperación ante desastres, la gran mayoría de las empresas que mantienen un DRP tratan de probar estos planes con cierta periodicidad con el objetivo de prepararse y saber bien qué es lo que, por algún motivo, funciona o no. En sí, las pruebas de los DRP conforman el paso más importante que se debe realizar, ya que si por algún motivo ocurre un desastre, sabremos cómo encender nuestras maquinas o aplicaciones en el orden correcto.
¿Cómo hacer un Plan de recuperación ante desastres?
Primero debemos plantearnos las siguientes preguntas:
- ¿Cuál será el RTO y RPO que necesitaremos?
- ¿Replicación de máquinas virtuales cada 15 minutos?
- ¿Replicación de máquinas virtuales de forma continua?
- ¿Orquestación de réplicas de Snapshots de almacenamiento?
- ¿Recuperación de datos desde respaldos?
- ¿Quién mantiene la documentación del Plan de recuperación ante desastres?
- ¿Como probar el Plan de recuperación ante desastres?
Las preguntas anteriores son algunas de las mínimas que debemos hacernos al momento de proponer, actualizar o implementar un Plan de recuperación ante desastres, ya que nos permitirán sentar las bases para nuestros DRP.
¿Con cuál solución de Veeam puedo contestar las preguntas que nos hicimos anteriormente?
Veeam Availability Orchestrator
Esta hermosa solución nos permite gestionar, mantener, crear y documentar nuestros Planes de recuperación ante desastres y, además, con ella es posible generar distintos DRP, ya sean basados en réplicas de máquinas virtuales, recuperación de respaldos u orquestación de réplicas de snaphosts de almacenamiento, así como probar los planes de recuperación y también asignar cuáles son los RTO y RPO esperados para los planes, con el fin de contar con una recuperación confiable.
Como ya muchos sabemos, en la versión 11 de Veeam Backup & Replication tendremos una nueva característica importante para la replicación: CDP (Continuous Data Protection), lo que nos permitirá realizar réplicas de máquinas virtuales con RPO en segundos para asignarlos a un Plan de recuperación antes desastres de máquinas virtuales que requieran una replicación de muy pocos segundos.
Esta característica CDP marca un hito importante en la gestión de Planes de recuperación ante desastres, ya que permitirá la creación de planes de acuerdo con la criticidad del tiempo de las réplicas de máquinas virtuales y, por supuesto, integrarlas con las demás opciones de recuperación ante desastres que nos ofrece Veeam Availability Orchestrator.
La importancia del Plan de recuperación ante desastres
Como mencionamos en este post, la importancia de tener y mantener un Plan de recuperación ante desastres para cualquier tipo de empresa es clave a fin de evaluar el impacto en caso de una situación de desastre y ser capaces de salir rápidamente de ella para conseguir el correcto funcionamiento del negocio. Con ello nos aseguramos de minimizar los riesgos de pérdidas de capital, así como también lo más importante: evitar la pérdida de confianza hacia la empresa o clientes descontentos.