El objetivo de las políticas de recuperación de desastres y continuidad de negocio obviamente no necesita explicación.

Prevenir, detectar y recuperar son las palabras clave.

La prevención se realiza para estar preparados en el caso de un desastre que provoque la pérdida de datos, caída del sistema central de la empresa, las comunicaciones, etc, que impidan que pueda operar con normalidad. En algunos casos, esto no supone una gran pérdida, pero supongamos que se trata de un banco que debe pagar las nóminas de su mayor cliente, y falla. Puede ser muy grave.

¿Qué se quiere evitar?

– No poder dar servicio a los clientes.

– Daños en la reputación/imagen/marca- Aquí es clave una buena política de comunicación y gestión de crisis.

– Desprotección de activos tanto intangibles como tangibles.

– Falta de control del negocio y de la información. Esto puede derivar el responsabilidad corporativa penal.

– Incumplimientos legales, vencimientos incumplidos, plazos…

Recuperación del desastre

Es importante realizar un buen plan de recuperación en caso de desastre. Para ello debemos discriminar lo crítico de lo importante, o establecer niveles intermedios:

1.- Se debe hace un inventario de activos, ya sea ordenadores, servidores, archivos en papel, centro de proceso de datos, etc…

2.- Clasificar el desastre en función de su criticidad: por un lado se determina qué casos son críticos y se evalúa por otro cuánto tiempo puede la empresa prescindir de aquello que deje de funcionar por un caso crítico.

3.- Definir la probabilidad y potencialidad del riesgo de un desastre. Como es de suponer, varía mucho en función del carácter de la empresa, en qué país este ubicada (riesgo sísmico,  nevadas, inundaciones, huelgas…).

4.- Es básica la formación a las personas involucradas en el plan de recuperación de negocio.

5.- Realizar pruebas (simulacros) e implantación del plan.

6.- Auditorías y monitorizaciones.

Los puntos 5 y 6, que son importantísimos y clave, muchas veces son olvidados por las empresas.

Análisis de impacto del desastre en el negocio

1.- Evaluar el impacto desde el punto de vista temporal: Un día de desastre puede ser fatal para una empresa, mientras que para otra pueda implicar muy poco coste.

2.- Evaluar el coste de recuperación del desastre.

3.- Análisis coste-beneficio. Obviamente si las medidas de recuperación de desastre que vamos a implantar suponen más gasto que lo que supondría recuperar el desastre, la medida no es correcta por excesiva.

Criticidad de los sistemas de información y comunicación de las empresas

Crítico: Se debe reemplazar el sistema por capacidades idénticas y no manuales.

Vital: Cabe la sustitución por un periodo breve del sistema por métodos manuales.

Sensitivo: Cabe la sustitución por un periodo largo del sistema por métodos manuales.

No crítico: Tolera largas interrupciones sin sustitución.

Recuperación de datos

Para evitar la pérdida, hay que definir el punto de recuperación y el tiempo de recuperación, para establecer cada cuánto es necesario realizar copias de seguridad. En algunos casos será diaria, en otros semanal…