Guía de recuperación ante desastres para los gobiernos
Por Rick Vanover, director Senior de Estrategia de Productos de Veeam.
La recuperación ante desastres (DR, por sus siglas en inglés) es el plan de una organización para recuperar datos y sistemas críticos, y responder así en caso de algún desastre, sea un evento meteorológico extremo, un incidente cibernético o algún otro que cause una interrupción importante. Si bien es un concepto simple, esta práctica suele pasarse por alto. Muchas veces no se revisan los planes de DR con regularidad, y no se ve la importancia hasta que pasa algo.
En lo que respecta a los gobiernos, estas instancias no pueden estar offline o “inactivas” ni por pocos días: los sistemas deben permanecer siempre funcionando, para garantizar la seguridad y las comunicaciones de los ciudadanos.
Conforme las tecnologías, los enfoques y los mismos desastres cambian, mantener los planes de DR requiere de un esfuerzo concentrado. Para estar preparados, las instancias gubernamentales necesitan actualizar periódicamente estos planes, capacitar al personal y adoptar una postura ofensiva. Los gobiernos no pueden esperar a que algo salga mal: requieren practicar sus planes, y monitorear y detener cualquier acción que pueda causar alguna pérdida de datos.
Pasos para un plan de DR triunfador
Un plan de recuperación ante desastres exitoso se compone de pasos claros a seguir. Debe incluir tanto puntos tácticos, como roles y responsabilidades definidos en caso de un evento. Uno de los primeros elementos en el desarrollo de estos planes es revisar y analizar toda la infraestructura de TI. Para ello, los planes de DR deben tener una lista de activos (que cubra desde hardware y software hasta dispositivos, aplicaciones y más), la cual capture el historial de versiones, la ubicación del sistema, la forma en que se realiza el respaldo y su protección, así como dónde se almacena el respaldo. Todos estos detalles son cruciales para que, cuando ocurra un desastre, los líderes tengan documentación de cómo era el sistema antes del evento.
El respaldo de datos y su almacenamiento son esenciales para un plan de DR, y pueden ahorrar tiempo y dinero a las instituciones cuando se trata de implementar un protocolo de recuperación. Si todo está respaldado y disponible, será más fácil volver a poner los sistemas en línea como antes. Teniendo esto en cuenta, hay una práctica de protección de datos clave, que puede ahorrarle tiempo, recursos y estrés a los gobiernos: la Regla 3-2-1-1-0, que establece que se deben mantener al menos 3 copias de datos, en al menos 2 tipos diferentes de medios de almacenamiento y con 1 respaldo en alguna ubicación fuera de sitio. Este último punto es crítico, especialmente en caso de algún evento climático extremo. Además, 1 de los medios debe almacenarse offline y todas las soluciones de recuperabilidad deben tener 0 errores.
Esta regla garantiza que los datos se respalden y que las ubicaciones de los respaldos sean lo suficientemente variadas como para evitar que un desastre interrumpa todo, y provee a las organizaciones de un respaldo completo en la eventualidad de cualquier escenario de desastre.
Probar y practicar el plan de DR
A medida que las instancias gubernamentales avanzan en su modernización de TI e implementan nuevas tecnologías, los planes de recuperación ante desastres requieren actualizarse periódicamente para reflejar esos cambios, o bien arriesgarse a perder partes de la infraestructura de TI en caso de desastre. Esto incluye no sólo agregar nuevos elementos a la lista de tecnología o cargas de trabajo, sino además añadir procesos adicionales si fuera necesario sumar nuevos pasos para conformar un plan de DR integral, garantizar el conocimiento organizacional de la tecnología implementada y capacitar sobre el plan de recuperación ante desastres.
En el futuro, para los gobiernos cuyo objetivo sea eliminar la mayor cantidad de errores posible, la automatización desempeñará un papel clave en la ejecución, seguimiento y planificación de los planes de DR.
Para garantizar que el plan sea holístico y que los empleados conozcan sus responsabilidades ante un evento no planificado, las organizaciones deben poner en práctica sus planes. Éstos requieren evaluarse regularmente con pruebas del mundo real para situaciones comunes, como eventualidades climáticas extremas, errores de usuario (por ejemplo, eliminar datos de forma accidental o bloquear un sistema) y ataques cibernéticos. Ejecutar pruebas con estos escenarios es crucial para asegurar que el plan sea sólido.
Las pruebas también pueden dar a los gobiernos información importante sobre priorización. En caso de un incidente que afecte múltiples áreas de datos, los líderes gubernamentales tendrán que saber cuál recuperar primero, y que el plan de DR satisfaga las necesidades de múltiples operaciones de recuperación. No probar la recuperación ante desastres puede provocar una mala gestión, confusión y, al final, una respuesta y recuperación más lentas.
Finalmente, los planes deben consistir en pasos menos técnicos, como hacer un plan de comunicación de emergencia que detalle lo que una institución compartirá con respecto a la situación tanto interna como externamente, y cómo lo hará. Además, las funciones y responsabilidades de cada empleado deben determinarse en el plan. En caso de desastre, todos los miembros del gobierno necesitarán trabajar juntos para implementar el plan de DR y hacer que el sistema vuelva a estar en plena capacidad.
Si bien esto puede parecer mucho trabajo, es importante recordar que el costo de prepararse para un desastre es generalmente menor que el de tener que sufrirlo y recuperar los datos perdidos.
¿Qué hay del futuro? El año pasado, muchas organizaciones tuvieron que tomar decisiones rápidas relacionadas con el soporte de un entorno de trabajo remoto. Como los ambientes remotos flexibles parecen posibles en el futuro previsible, los gobiernos deben asegurarse de tomar el tiempo para actualizar sus planes de DR, reflejar cualquier cambio y asegurarse de tener en cuenta todos los dispositivos.
Los gobiernos que tengan el objetivo de ser líderes en lo que respecta a los planes de DR, deberán hacer los ajustes necesarios, desde capacitar a su fuerza laboral a medida que ocurren cambios, hasta poner en práctica sus planes y mantenerlos actualizados conforme evolucionan las necesidades. Cuando de planes de DR se trata, cada miembro de la organización juega un rol para garantizar su éxito. Siendo proactivos y preparándose para un desastre hoy, las instancias gubernamentales podrán estar listas para las eventualidades de mañana.