Los desastres IT, entendidos como una situación de crisis en las infraestructuras IT de una organización, están a la orden del día. Son un hecho. En cualquier momento el sistema se puede caer y causar daños a la organización, ya sean directos o colaterales, más o menos críticos y más a menos reversibles.
Según explica Ignacio Gilart, CEO de WhiteBearSolutions, el motivo de este peligro es más frecuente de lo que puede parecernos: “Existen demasiados factores que pueden llegar a suponer una pérdida o interrupción del acceso a la información crítica en una organización”, advierte.
Uno de los fallos más comunes es el que tiene lugar en el suministro y la red eléctrica, algo que ocurre muy a menudo. Además, son bastante frecuentes los fallos en el hardware y sistemas de almacenamiento. Y es que, aunque dispongamos de controladores de red o múltiples fuentes de alimentación, pueden surgir complicaciones más críticas, como puede ser un fallo en la Red de Almacenamiento (SAN). “Si este sistema se cae, también lo hacen todos los datos de la organización”, advierte el CEO de WhiteBearSolutions.
Los errores humanos son otra de las causas que nos encontramos de forma frecuente ante desastres IT. Aunque en estas situaciones el origen puede ser muy variado, los motivos más comunes son el borrado accidental de sistemas de archivos de un servidor. Algo que ocurre no sólo entre novatos, sino que le sucede a expertos de consumada experiencia. Es por eso que es necesario hacer copias de seguridad con frecuencia. “Cuando se trata de información sensible, la ausencia de un adecuado nivel de protección, respaldo y recuperación de datos se convierte en una situación crítica para la organización”, explica Gilart.
El software es otro de los elementos a tener en cuenta a la hora de controlar los focos susceptibles de ser causantes de un desastre de IT. La falta de supervisión y comprobación de los parches y actualizaciones que éstos reciben puede provocar la corrupción de determinadas aplicaciones y la consiguiente caída de los sistemas. “Por otro lado, el uso de sistemas operativos anticuados y con un deficiente mantenimiento también está detrás de fallos de software que desencadenan un desastre IT”, advierte.
Por otro lado, siempre que hablamos de infraestructuras informáticas es necesario hablar de ciberseguridad. Las amenazas en Internet aumentan cada año, por lo que no podemos olvidar que es necesario protegerse contra ataques maliciosos y virus informáticos, ya que sus consecuencias pueden ser fatales, aunque sean menos frecuentes que los casos mencionados anteriormente.
“Si el hecho de sufrir un desastre de los sistemas de información supone una gran pérdida de credibilidad y confianza por parte de los clientes, hacerlo como consecuencia de un ciberataque suele ser mediáticamente terrible”, advierte Gilart.
Respuestas ante posibles crisis: Plan de Recuperación de Desastres
Para Gilart, una de las mejores respuestas que pueden adoptar las organizaciones ante posibles desastres de IT, para evitar que cualquiera de estos fenómenos ponga en peligro la seguridad de una empresa, es contar con un Sistema de Recuperación de Desastres (DRP por sus siglas en inglés). Existen muchas alternativas en el mercado. Desde las tradicionales soluciones de backup en disco y cinta, las consolidadas soluciones basadas en snapshots nativos de los propios sistemas de almacenamiento (aunque no sustituyen al backup sino que lo complementan), hasta avanzados sistemas cloud backup.
Este importante recurso en las organizaciones es frecuentemente menospreciado, obviando su importancia por la dedicación de recursos que supone. Pero es, si cabe, uno de los procesos más importantes que cualquier organización debe tener definida para garantizar la integridad de su información y la continuidad de su negocio. Se trata pues de un asunto estratégico.
En este sentido, para la definición de un DRP existen una serie de fases que ayudarán a cualquier empresa a afrontar los riesgos a los que se enfrentan sus infraestructuras IT. Según explica el CEO de WhiteBearSolutions, un buen punto de partida es la realización de un inventario completo de todos los activos digitales de la organización, con la intención de valorar la complejidad y los riegos del entorno.
Además, es necesario evaluar y tomar conciencia de los riesgos potenciales. Es decir, determinar todas las amenazas internas o externas que puedan afectar a los sistemas de la organización. Una vez definidos, es importante valorar la relevancia y sensibilidad de las aplicaciones y los datos clasificando los sistemas de información según cómo de críticos resulten para la continuidad de la actividad de la organización.
También hay que definir los objetivos de recuperación, determinar el RTO (Recovery Time Objetive) y el RPO (Recovery Point Objetive), elegir las técnicas y herramientas apropiadas, y asignar roles y responsabilidades hacia cada parte de la infraestructura.
De esta forma, podremos elaborar y documentar un Plan de Recuperación de Desastres para ponerlo a prueba. Una vez los tests muestren su eficacia, serán necesarios trabajos de mantenimiento, que requerirán la actualización del DRP para que los cambios en el sistema no afecten a su efectividad.
