Cataluña se quedó sin la circulación de un solo tren el pasado 9 de septiembre. ¿La causa? Un error en unos discos duros durante el proceso de actualización de los sistemas afectó a 200 trenes de corta distancia y otros cuatro de largo recorrido durante horas. Miles de usuarios se vieron perjudicados. Esta incidencia ferroviaria, la más grave ocurrida nunca en Cataluña, se hubiera evitado en caso de contar con un Plan de Contingencia.
Podemos encontrar multitud de ejemplos. Un incendio en los servidores de la empresa OVH dejó sin servicio a multitud de empresas y produjo daños irreparables en muchos servicios digitales en el año 2021. Si las empresas que tenían alojadas sus backups en los servidores destruidos no disponían de otra copia (en otra ubicación o en local) el daño es todavía mayor.
Estos son solo dos ejemplos que justifican la necesidad de que las empresas conciban e implementen un Plan de Contingencia y Continuidad de Negocio.
Sin embargo, las razones que provocan situaciones de emergencia pueden ser múltiples: incendios, inundaciones, fallo en el suministro eléctrico, desaparición de la empresa proveedora a internet o, como hemos vivido recientemente, una enfermedad generalizada en un departamento o una pandemia que ha obligado a implementar el teletrabajo, etc.
En este contexto, el acceso y la pérdida de los datos y de la información es el valor más importante para una empresa.
Al contrario de lo que se piensa, los desastres y las afectaciones a la continuidad del negocio perjudican a todo tipo de empresas, tanto grandes corporaciones como pymes.
La dimensión de la empresa determinará el alcance de las medidas a implementar en el Plan de Contingencia. Por ejemplo, una gran organización puede requerir el despliegue de un centro de respaldo alternativo, tanto de comunicaciones, sistemas como servidores en una ubicación remota. En otros casos podría ser más óptimo realizar copias de seguridad en la nube, primando el rendimiento frente al coste.
En todo caso, una pyme puede contar con un excelente Plan de Contingencia personalizado por un coste económico muy reducido. Una de las mejores alternativas que ofrece el mercado es Cyber Protect Cloud al contar con un DRS (Data Recovery system) propio.
¿En qué consiste un Plan de Contingencia TIC?
Lo primero que hemos de tener en cuenta es que el Plan de Contingencia TIC (PCTIC) debe contemplar todas las actuaciones relativas al ámbito tecnológico que ha de llevar a cabo la empresa en caso de desastre e interrupción de las operaciones.
¿Por qué? Porque un desastre afecta a la operativa normal de la empresa, también al ámbito TIC. El protocolo de actuación debe concebirse para todos y cada uno de los dispositivos tecnológicos y su localización concreta: equipos fijos, móviles y tablets.
Un Plan de Contingencia debe dar respuesta a preguntas como:
¿Cómo lo hará, es decir, cómo seguirá trabajando?
¿Cuánto tiempo puede estar sin acceso a los sistemas?
¿Cuánto trabajo puede permitirse no hacer al no estar operativo?
¿Tendrá la capacidad económica de comprar equipos nuevos?
¿Harán falta realmente?
En concreto, el PCTIC contiene los requisitos temporales y de recursos y las iniciativas a implementar para recuperar los procesos en situación de emergencia, que deben considerar aspectos como:
- Tiempo de recuperación (RTO)
- Recursos humanos y tecnológicos necesarios
- Tiempo máximo tolerable de caída de los sistemas (MTD)
- Niveles mínimos de recuperación de servicio (ROL)
- Dependencias de otros procesos o proveedores
- Grado de dependencia de la actualidad de los datos (RPO)
Como todo protocolo de actuación, el Plan de Contingencia debe documentar todas las fases y las soluciones decididas y, con posterioridad, llevarse a la práctica. El objetivo es corroborar que realmente es operativo y da respuesta a las problemáticas planteadas. Por ejemplo, ¿qué procedimiento permite levantar el servidor en la nube en pocos minutos y de manera continua lo antes posible?.
Diferencia PCTIC y PRD
Merece la pena tener clara las diferencias entre Plan de Contingencia TIC (PCTIC) y Plan de Recuperación ante Desastres (PRD):
PCTIC: Es uno de los planes que forman el Plan de Continuidad de Negocio (PCN) de la empresa, pero centrado al ámbito TIC.
Por ejemplo, en caso de incendio en uno de los almacenes será necesario poner en marcha todos aquellos planes de continuidad de negocio relacionados con los procesos que han sido afectados. En este caso, nos centraremos en la parte tecnológica como, por ejemplo, recuperar los servicios IT que estaban en la fábrica afectada. Aunque el alcance de un PCN es por lo general superior al de un PCTIC, ya que hay otros procesos y activos no tecnológicos implicados, las fases de su elaboración son básicamente las mismas.
PRD: Su fase de análisis es menos profunda y se enfoca al ámbito más técnico limitándose a la recuperación de la información, de modo que es un plan reactivo ante una posible catástrofe. Por ejemplo, si tenemos un plan de desastres para nuestra página web de comercio electrónico, el PRD contendrá todos los pasos para la recuperación de la aplicación.
Puedes conocer con más detalles el servicio de seguridad Cyber Protect Cloud en este post de Accensit, que permiten a las pymes agilizar la implementación de un PRD y de un PCTIC.
No dudéis en poneros en contacto con nosotros en contact@accensit.com para solicitar más información y resolver cualquier duda.