Continuidad de negocio y recuperación ante desastres

Los desastres y las situaciones catastróficas que pueden afectar a nuestro negocio ocurren y, además, lo hacen de manera imprevisible. Aunque hablemos de recuperación ante desastres, y esa palabra evoque en nuestra mente imágenes de inundaciones, incendios y otras calamidades, lo cierto es que los incidentes que pueden afectar a la continuidad de nuestro negocio e impactar en sus ingresos y operaciones pueden ser de tipo y gravedad muy diferente.

Dado que muchas veces estas situaciones son inevitables, la única manera de evitar el impacto de estos incidentes en nuestro negocio, o de al menos minimizarlo, es contar con un plan de continuidad de negocio y un plan de recuperación ante desastres.

Muchas veces estos dos términos se usan indistintamente como sinónimos, aunque en realidad se refieren a dos procesos distintos. La continuidad de negocio tiene como objetivo asegurar que la empresa pueda seguir operando, aunque sea de manera reducida, con una disrupción mínima del servicio. La recuperación ante desastres define cómo restaurar los niveles de servicio previos al incidente.

Continuidad de negocio

Un plan de continuidad de negocio define de manera precisa cómo una empresa va a reaccionar y a operar durante y después de un incidente que afecte a sus operaciones. Según el nivel del impacto y la función afectada, el plan de contingencia definirá las acciones a tomar, por ejemplo, activando un protocolo de teletrabajo.

Un plan de continuidad de negocio comienza con una evaluación de riesgos y un análisis de su impacto en el negocio. Con esos dos elementos como base, el plan define las acciones de contingencia a tomar para mantener el servicio a sus clientes.

Recuperación ante desastres

La recuperación ante desastres busca mitigar el daño y resolver la disrupción del servicio, primero identificando el origen de la disrupción y luego aplicando las medidas necesarias para corregir el daño, de manera temporal o permanente. Los planes de recuperación ante desastres incluyen tiempos límite llamados Recovery Time Objectives (RTOs), que definen cuándo ha de estar disponible un servicio después de un incidente. Si no se cumplen esos tiempos límite, entonces se escala el incidente al siguiente nivel.

Similitudes y diferencias entre continuidad de negocio y recuperación ante desastres

Aunque los dos conceptos sean diferentes, sí que existe un cierto solapamiento entre ambas disciplinas:

  1. Ambas son estrategias proactivas, que buscan anticiparse a eventos catastróficos para minimizar su impacto en la empresa. En vez de reaccionar a un incidente, ambos enfoques son preventivos.
  2. Al centrarse en áreas del negocio afectadas y el nivel de impacto, ambas son estrategias útiles para prepararse para un rango muy amplio de incidentes, desde desastres naturales a pandemias o ciberataques.
  3. Ambas requieren ser revisadas de forma regular para adecuarse a los objetivos y necesidades de la empresa en cada momento. 

Sin embargo, una empresa necesita disponer de ambas estrategias para poder disfrutar de un nivel de preparación adecuado. De hecho, muchas empresas incluyen la recuperación ante desastres como parte de sus planes de continuidad de negocio.

Básicamente, sus objetivos son diferentes, aunque complementarios. Mientras un plan de continuidad de negocio tiene como objetivo mantener la empresa operativa durante un período de crisis, la recuperación ante desastres busca restaurar el nivel de operatividad anterior a la crisis.

Mejores prácticas en recuperación ante desastres

  1. Céntrate en los activos y en las vulnerabilidades, no en el desastre concreto. Es imposible prever todos los posibles incidentes que puedan afectar a nuestro negocio. En vez de planificar para eventos concretos, es mejor centrarnos en los activos de nuestro negocio y en sus vulnerabilidades. Por ejemplo, ¿qué ocurre si somos una empresa de comercio electrónico y nuestro partner de logística sufre un ciberataque?
  2. Define momentos periódicos e hitos donde se tendrá que actualizar el plan de recuperación ante desastres. Por ejemplo, además de revisarlo 2-4 veces al año, también habrá que hacerlo siempre que se añada un nuevo activo o servicio. Por ejemplo, una nueva oficina o un nuevo servidor cloud.
  3. Mantén una guía de recuperación ante desastres accesible a todos los empleados que lo necesiten. La guía ha de estar escrita en un lenguaje claro y accesible y permite que los planes de contingencia puedan ser ejecutados.
  4. Testea tu plan para evitar una falsa sensación de seguridad. Es la única manera de asegurarte de que, cuando realmente sea necesario, el plan funcione y puedas recuperar los niveles de operatividad de tu negocio. Cada testeo debe incluir un reporte que permita documentar paso a paso qué ha fallado y qué ha funcionado bien, para poder adaptar el plan como sea necesario.
  5. Involucra a tus empleados en la recuperación ante desastres con formación y entrenamiento para asegurarte de que estén preparados para reaccionar.

Recuperación ante desastres y backups: nube y on-premise

Una parte fundamental del plan de recuperación ante desastres es el disponer de copias de seguridad actualizadas, accesibles y protegidas, de datos y aplicaciones críticas, a las que se pueda recurrir como contingencia cuando nuestra ubicación principal, por la razón que sea, deja de operar o pierde conectividad.

El enfoque tradicional de la recuperación ante desastres requiere el disponer de un espacio físico secundario en un segundo data center. Esta opción implica una serie de costes operacionales que implica y una inversión adicional en equipos e infraestructura para replicar la infraestructura principal.

Una segunda opción es contar con un proveedor de infraestructura como servicio que nos permita disponer de un backup en la nube. Esta opción permite dimensionar nuestra infraestructura secundaria de apoyo según nuestras necesidades y pagar solo por lo que utilicemos. Además, es sencillo añadir espacio adicional de alojamiento cuando lo necesitemos, sin necesidad de adquirir y configurar nuevos equipos.

Un aspecto importante de los backups, tanto si son on-premise en un data center o en la nube es que han de estar en una ubicación geográfica diferente de nuestra infraestructura principal. El incendio de varios data centers en Estrasburgo en 2021 de un proveedor de servicios cloud resultó en la pérdida completa de datos incluso de clientes que tenían contratado un servicio de respaldo, dado que estos backups estaban en los mismos data centers. Disponer de un backup georeplicado en ubicaciones geográficas separadas es clave para poder asegurar una correcta recuperación ante desastres y mantener la continuidad del negocio. 

En Adam hemos inaugurado en mayo de 2021 nuestro nuevo centro de datos en Madrid. Este data center dispone de una nueva versión de nuestra plataforma de infraestructura como servicio (IaaS), basada en OpenStack. Esta versión incluye sistemas de almacenamiento en discos SSD NVMe de Pure Storage, lo que permite una mayor velocidad de ejecución de las aplicaciones instaladas en la plataforma.

Pero, además, la implantación de los sistemas de Pure Storage permite sincronizar nuestros data centers de Alcalá, en Madrid, y Cerdanyola del Vallès, en Barcelona, así como simplificar la gestión de snapshots y réplicas de instancias cloud. Esta solución permite a empresas de cualquier tamaño disponer de backups y réplicas distribuidas geográficamente para asegurar una recuperación ante desastres sólida, rápida y eficiente.