Sea cual sea la forma que adopte una catástrofe, la mejor manera de afrontarla es estar preparado recurriendo a un plan de recuperación ante catástrofes bien pensado. Mantener la calma y la serenidad bajo presión es mucho más fácil cuando tiene a alguien (o algo) que le guíe a través de una mala situación. Las catástrofes adoptan muchas formas, desde desastres naturales hasta ciberataques y accidentes.

Los ciberataques, como el ransomware, pueden ser desastrosos para una empresa, a menudo deteniendo el trabajo por completo. El impacto de las pérdidas accidentales de documentos o de una violación maliciosa de la seguridad puede ser grave, incluyendo la pérdida de reputación, multas reglamentarias y el tiempo de inactividad del sistema y de la empresa. La creación de un plan de continuidad del negocio factible ofrece a una organización la mejor oportunidad posible para minimizar el impacto de un desastre como una inundación, un incendio o un ciberataque y reducir el tiempo de recuperación.

He aquí nuestra guía sobre qué es un plan de recuperación en caso de catástrofe y cómo redactar uno.

¿Qué es un plan de recuperación en caso de catástrofe?

En la Guía del autoestopista galáctico, la Enciclopedia Galáctica comienza con las palabras «Que no cunda el pánico«. Un plan eficaz de recuperación ante catástrofes (RD) no necesita tener esas palabras estampadas en su portada porque es una guía razonada para hacer frente a una catástrofe. Un plan de RD es la guía de instrucciones documentada de una organización para responder a incidentes, incluidas catástrofes naturales como inundaciones, cortes de electricidad, ciberataques, pérdida de datos, etc. El plan presenta una serie de estrategias que ayudan a minimizar el impacto de una catástrofe; el objetivo es mantener las operaciones de la empresa y reanudar el trabajo lo antes posible.

¿Por qué necesita redactar un plan de recuperación en caso de catástrofe?

Las cosas malas ocurren y a menudo sin previo aviso, lo que provoca trastornos generalizados. Las tormentas de 2015-2016 en el Reino Unido, por ejemplo, tuvieron un impacto económico de 1.600 millones de libras, y las empresas gastaron más de 500 millones en daños por inundaciones. Los ciberataques son también un desastre a punto de ocurrir: en 2020, el 65% de las medianas empresas sufrieron un ciberataque, según una encuesta del DCMS de 2021. Las amenazas internas también pueden ser desastrosas, y los costes se disparan, según The Ponemon Institute: en los últimos 12 meses, el coste medio anual de una violación interna ha aumentado un 31%, hasta los 11,45 millones de dólares (8,27 millones de libras).

Las catástrofes son a menudo inevitables, pero pueden gestionarse para minimizar su impacto: aquí es donde entra en juego el plan de recuperación ante catástrofes. Un plan de RD está diseñado para:

  • Limitar el impacto de la catástrofe en la empresa

  • Minimizar el impacto en los procesos y operaciones empresariales

  • Minimizar cualquier daño físico o cibernético

  • Reducir los costes asociados a la catástrofe

  • Formar al personal, a los proveedores y a las partes interesadas en los procesos identificados para mitigar las catástrofes

  • Identificar formas de trabajar mientras se hace frente a la catástrofe

  • Procedimientos de recuperación tras la catástrofe

Cómo redactar un plan de recuperación en caso de catástrofe

Los planes de recuperación en caso de catástrofe suelen constar de cinco componentes clave:

  1. Funciones y responsabilidades

  2. ¿Cuáles son las zonas de riesgo?

  3. Llevar a cabo una evaluación del impacto empresarial (BIA)

  4. Auditoría de activos

  5. Copias de seguridad

Funciones y responsabilidades

Cree un equipo de RD que será responsable de desarrollar y mantener el plan de RD. Identifique al personal clave encargado de llevar a cabo las tareas necesarias para hacer frente a una catástrofe y recuperarse de ella. La difusión efectiva de la información y unos canales de comunicación sólidos son esenciales para un plan de RD eficaz. Coloque los datos del personal, incluida la información de contacto y de respaldo, en un registro de fácil acceso en el plan de RD. Ésta será su lista maestra de contactos. También debería crear un equipo de contactos de reserva.

Todos los empleados deben ser informados sobre el plan de RD y sobre quién es el responsable de ejecutarlo en caso de catástrofe. Esto formará parte de un programa de formación más amplio en planificación de catástrofes para que todos los empleados comprendan lo que ocurre en caso de catástrofe.

¿Cuáles son las zonas de riesgo?

Defina las áreas de riesgo asociadas a una catástrofe. Esto suele desglosar las catástrofes en tipos, por ejemplo, naturales, creadas por el hombre, relacionadas con la tecnología. Cada tipo de catástrofe suele tener sus propias estrategias de mitigación. Describa cuáles son estas estrategias de mitigación y cómo se aplica cada una.

Llevar a cabo una evaluación del impacto empresarial (BIA)

La gestión eficaz de una catástrofe requiere establecer prioridades. Una evaluación del impacto en el negocio (BIA, por sus siglas en inglés) examina los tipos de actividades empresariales y las asigna a niveles de riesgo en términos de lo críticas que son para la continuidad de las operaciones de la empresa. Esto se mapea con los requisitos de recursos de las operaciones críticas del negocio que se necesitan para asegurar la resistencia operativa y la continuidad cuando el negocio se interrumpe. En términos de planificación de catástrofes, un plan de recuperación de catástrofes se centraría normalmente en áreas empresariales clave como la generación de ingresos y las nóminas. El objetivo, sin embargo, es poner en marcha todas las operaciones lo antes posible.

Auditoría de activos

Como parte de una evaluación de impacto más amplia, el plan de RD debe proporcionar una auditoría de las aplicaciones, documentos, hardware, etc. más impactantes y su criticidad para las operaciones empresariales. Se trata de un proceso continuo, ya que estos elementos pueden cambiar rápidamente.

Copias de seguridad

Disponer de copias de seguridad de los documentos clave y sensibles es una garantía de seguridad. Los documentos esenciales para una empresa pueden perderse o dañarse en una catástrofe o cifrarse en ataques de ransomware. Asegúrese de que su política incluye una estrategia de copia de seguridad y recuperación que cubra la siguiente lista de comprobación:

  • ¿Quién es responsable de las copias de seguridad de los datos?

  • Qué guardar y con qué frecuencia realizar copias de seguridad

  • Cómo guardarlo (tipo de sistema de copia de seguridad utilizado – esto es especialmente importante para la resistencia al ransomware)

  • Cómo probar el sistema de copias de seguridad y con qué frecuencia hacerlo

  • Cómo recuperarse de las copias de seguridad

También es importante recordar que un plan de recuperación de datos es un documento vivo que debe actualizarse con regularidad. La creación de un plan de recuperación de datos sólido es un proceso intensivo que se sumerge en los entresijos de su organización y en cómo se las arreglará en el peor de los casos. Tiene muchas partes críticas para el negocio y debe considerarse la colaboración con expertos externos para garantizar un plan que se ajuste a las necesidades.

¿Está preparado su plan de recuperación en caso de catástrofe?

Cada plan de recuperación ante catástrofes es único para una organización: un plan de recuperación ante catástrofes profundiza en el núcleo del negocio de una organización y en su funcionamiento. Pero un plan de Recuperación ante Desastres tiene a las personas en su centro. La formación del personal en la aplicación de los principios de un plan de Recuperación ante Catástrofes es vital para garantizar que el plan se lleva a cabo con eficacia. Nuestro personal es el medio para evitar una catástrofe, pero debe ser plenamente consciente de su papel para evitar o minimizar el impacto de esa catástrofe.

Pasos clave para una gestión eficaz de la violación de datos