Plan de recuperación ante desastres
A plan de recuperación ante desastres (DRP) es un proceso documentado o conjunto de procedimientos para recuperar y proteger un negocio infraestructura en caso de un desastre.[1] Dicho plan, normalmente documentado en forma escrita, especifica los procedimientos de que una organización es a seguir en caso de desastre. Es "una declaración completa de acciones consistentes para tomarse antes, durante y después de un desastre".[2] El desastre podría ser natural, del medio ambiente o artificial. Los desastres provocados por el hombre podrían ser intencionales (por ejemplo, un acto terrorista) o involuntaria (es decir, accidentales, tales como la rotura de una presa artificial).
Teniendo en cuenta las organizaciones de la creciente dependencia en tecnología de la información para ejecutar sus operaciones, a veces erróneamente llamado un plan de recuperación ante desastres, un continuidad del plan de operaciones (COOP), está cada vez más asociado con la recuperación de datos de la tecnología de información, bienes y servicios.
Contenido
- 1 Objetivos
- 2 Relación con el Plan de continuidad de negocio
- 3 Beneficios
- 4 Tipos de planes
- 5 Tipos de desastres
- 5.1 Desastres naturales
- 5.2 Desastres provocados por el hombre
- 6 Metodología de planificación
- 6.1 Obtención de compromiso de la alta gerencia
- 6.2 Establecimiento de un Comité de planificación
- 6.3 Realizar una evaluación del riesgo
- 6.4 Establecimiento de prioridades para el procesamiento y las operaciones
- 6.5 Determinación de estrategias de recuperación
- 6.6 Recopilación de datos
- 6.7 Organizar y documentar un plan escrito
- 6.8 Desarrollo de criterios y procedimientos de prueba
- 6.9 El plan de pruebas
- 6.10 Obtener aprobación del plan
- 7 ADVERTENCIAS/controversias
- 7.1 Falta de buy-in del
- 7.2 RPO y RTO incompleto
- 7.3 Miopía de sistemas
- 7.4 Seguridad
- 7.5 Planes obsoletos
- 8 Software estándar de DRP
- 9 Véase también
- 10 Referencias
Objetivos
Organizaciones no siempre evitar los desastres, pero con una planificación cuidadosa los efectos de un desastre pueden ser minimizadas. El objetivo de un plan de recuperación ante desastres es minimizar el tiempo de inactividad y pérdidas de datos.[3] El objetivo principal es proteger la organización en caso de que se inutilizó toda o parte de sus operaciones o servicios informáticos. El plan reduce al mínimo la interrupción de las operaciones y asegura de que cierto nivel de estabilidad organizacional y una ordenada recuperación después de un desastre prevalecerá.[2] Minimiza la pérdida de datos y tiempo de inactividad se mide en términos de dos conceptos: el Objetivo de tiempo de recuperación (RTO) y la Objetivo de punto de recuperación (RPO).
El objetivo de tiempo de recuperación es el tiempo dentro del cual debe ser restaurado un proceso empresarial, después un incidente importante (MI) se ha producido, con el fin de evitar consecuencias inaceptables asociadas con una rotura en continuidad del negocio. El objetivo de punto de recuperación (RPO) es la antigüedad de los archivos que deben ser recuperados de almacenamiento para las operaciones normales de reanudar si una computadora, sistema o red se cae debido a MI. El RPO se expresa hacia atrás en el tiempo (es decir, en el pasado) a partir del instante en el cual se produce el MI y puede especificarse en segundos, minutos, horas o días.[4] El objetivo de punto de recuperación (RPO) es así el máximo aceptable de pérdida de datos medido en el tiempo. Es la edad de los archivos o datos en el almacenamiento de respaldo necesario para reanudar las operaciones normales después de la MI.[5]
Relación con el Plan de continuidad de negocio
Según el Instituto SANS, el Plan de continuidad del negocio (BCP) es un plan organizacional integral que incluye el plan de recuperación ante desastres. El Instituto además afirma que un Plan de continuidad del negocio (BCP) consiste en los planes de cinco componentes:[6]
- Plan de reanudación de negocios
- Plan de emergencia de los ocupantes
- Continuidad del Plan de operaciones
- Plan de gestión de incidencias
- Plan de recuperación ante desastres
Los Estados del Instituto que los tres primeros planos (reanudación del negocio, ocupante de emergencia y planes de continuidad de operaciones) no se ocupan de la infraestructura de ti. Considerar estado que el Plan de gestión del incidente (IMP) se ocupa de la infraestructura de ti, pero desde entonces establece procedimientos para dirección ataques cibernéticos contra una organización y estructura de sistemas, generalmente no representa un agente para activar el Plan de recuperación de desastres, dejando el Plan de recuperación ante desastres como el único componente BCP de interés para él.[6]
Disaster Recovery Institute Internacional afirma que la recuperación ante desastres es el área de continuidad del negocio que se ocupa de tecnología recuperación en comparación con la recuperación de las operaciones del negocio.[7]
Beneficios
Como todos los planes de seguros, existen beneficios que pueden obtenerse en la redacción de un plan de recuperación ante desastres. Algunos de estos beneficios son:[2]
- Proporcionan un sentido de seguridad
- Minimizar el riesgo de retrasos
- Garantizar la confiabilidad de los sistemas en espera
- Proporcionar un estándar para las pruebas del plan
- Minimizar la toma de decisiones durante un desastre
- Reducción de posibles responsabilidades legales
- Ambiente de trabajo innecesariamente estresante descenso
Tipos de planes
No hay ningún un tipo de plan de recuperación ante desastres,[8] tampoco existe un plan de recuperación ante desastres sin distinciones.[1][8] Sin embargo, hay tres estrategias básicas que figuran en los planes de recuperación ante desastres: (1) prevención y medidas (2) detectives (3) correctivos.[9] Las medidas preventivas a tratar de evitar un desastre. Estas medidas buscan identificar y reducir riesgos. Se diseñan para mitigar o evitar que ocurra un evento. Estas medidas pueden incluir mantener los datos respaldados por encima y fuera del sitio, usando protectores contra sobretensiones, instalación de grupos electrógenos y la realización de inspecciones de rutina. El detective medidas para descubrir la presencia de otros hechos no deseados dentro de la infraestructura de ti. Su objetivo es descubrir nuevas amenazas potenciales. Pueden detectar o descubrir acontecimientos indeseados. Estas medidas incluyen la instalación de alarmas de incendio, usando software antivirus actualizado, celebración de las sesiones de entrenamiento de empleados e instalación de servidores y redes, software de monitoreo. Medidas correctivas están orientadas a restaurar un sistema después de un desastre o evento no deseado ocurre lo contrario. Estas medidas se centran en reparar o restaurar los sistemas después de un desastre. Las medidas correctivas pueden incluir mantener documentos críticos en el Plan de recuperación ante desastres o fijación apropiada pólizas de seguros, después de un "lecciones aprendidas" sesión de intercambio de ideas.[1][10]
Un plan de recuperación de desastres debe responder por lo menos tres preguntas básicas: (1) ¿Cuál es su objetivo y propósito, (2) que será el pueblo o los equipos quien serán responsables en caso interrupciones suceden, y (3) estas personas qué (los procedimientos a ser seguidos) cuando el desastre.[11]
Tipos de desastres
Los desastres pueden ser natural o artificial. Los desastres provocados por el hombre podrían ser intencionales (por ejemplo, sabotaje o un acto de terrorismo) o involuntaria (es decir, accidentales, tales como la rotura de una presa artificial). Los desastres pueden abarcar más de tiempo. Pueden implicar amenazas provenientes de Internet o tomar otras manifestaciones hechas por el hombre como el robo.[1]
Desastres naturales
Un desastre natural es un importante acontecimiento adverso resultantes de los riesgos naturales de la tierra. Los ejemplos de los desastres naturales son inundaciones, tsunamis, tornados, los huracanes/ciclones, erupciones volcánicas, terremotos, olas de calor, y deslizamientos de tierra. Otros tipos de desastres son más cósmica escenario de un asteroide contra la tierra.
Desastres provocados por el hombre
Los desastres provocados por el hombre son la consecuencia de los riesgos tecnológicos o humanos. Los ejemplos incluyen estampidas, incendios urbanos, accidentes industriales, derrames de petróleo, explosiones nucleares/radiación nuclear y los actos de guerra. Otros tipos de desastres provocados por el hombre son los escenarios más cósmicos de catastrófico el calentamiento global, guerra nuclear, y bioterrorismo.
La siguiente tabla clasifica algunos desastres y notas de la primera de las iniciativas de respuesta. Tenga en cuenta que mientras que las fuentes de un desastre pueden ser naturales (por ejemplo, fuertes lluvias) o artificial (por ejemplo, una presa rota), los resultados pueden ser similares (inundaciones).[12]
Natural | Desastre | ||
---|---|---|---|
Ejemplo | Perfil | Primera respuesta | |
Avalancha | El flujo repentino y drástico de nieve en una pendiente, que se produce cuando naturales desencadenantes, como carga de nueva nieve o lluvia, o disparadores artificiales, tales como explosivos o esquiadores de travesía, sobrecarga del manto de nieve | Apagar Utilidades; Evacuar el edificio si es necesario; Determinar el impacto en el equipo, instalaciones y cualquier interrupción | |
Blizzard | Una severa tormenta de nieve caracterizada por vientos muy fuertes y bajas temperaturas | Apague todos los equipos; escuchar los avisos de tormenta; Evacuar el área, si es inseguro; Evaluar los daños | |
Terremoto | La sacudida de la corteza terrestre, causada por fuerzas volcánicas subterráneas de ruptura y desplazamiento de roca debajo de la superficie de la tierra | Apagar Utilidades; Evacuar el edificio si es necesario; Determinar el impacto en el equipo, instalaciones y cualquier interrupción | |
Fuego (salvaje) | Incendios que se originan en áreas deshabitadas y que plantean el riesgo que se propague a las áreas habitadas | Intento de suprimir el fuego en etapas iniciales; Evacuar al personal de alarma, según sea necesario; Avisar a los bomberos; Apagar Utilidades; Avisos del tiempo en monitor | |
Inundación | Inundaciones repentinas: pequeños arroyos, quebradas, seco rodados, quebradas, alcantarillas o incluso bajo zonas de inundación rápida | Avisos de inundación monitor; Determinar la inundación potencial a las instalaciones; Etapa previa electrógeno de emergencia equipo; Evaluar los daños | |
Lluvia helada | Lluvia que ocurre cuando la temperatura de la superficie exterior está bajo cero | Avisos de monitor del tiempo; Notificar a los empleados de cierre de negocios; Página de inicio; Arreglos para remoción de nieve y hielo | |
Ola de calor | Un período prolongado de tiempo excesivamente caliente en relación con el patrón del tiempo habitual de un área y en relación a las temperaturas normales para la temporada | Escuchar los avisos del tiempo; Apagado todos los servidores después de un apagado si hay potencial inminente del apagón; Cerrar el circuito eléctrico principal que normalmente se encuentra en el sótano o el primer piso | |
Huracán | Fuertes lluvias y vientos | Apague todos los equipos; escuchar los avisos de huracán; Evacuar el área, si las inundaciones son posible; Compruebe el gas, el agua y las líneas eléctricas por daños; No use teléfonos, en caso de severo relámpago; Evaluar los daños | |
Deslizamiento de tierra | Fenómeno geológico que incluye una amplia gama de movimiento de tierra, tales como caídas de rocas, profundo fracaso de laderas y suciedad superficial fluye | Apagar Utilidades; Evacuar el edificio si es necesario; Determinar el impacto en el equipo, instalaciones y cualquier interrupción | |
Rayo | Una descarga eléctrica causada por un rayo, normalmente durante las tormentas eléctricas | Apague todos los equipos; escuchar los avisos de huracán; Evacuar el área, si las inundaciones son posible; Compruebe el gas, el agua y las líneas eléctricas por daños; No use teléfonos, en caso de severo relámpago; Evaluar los daños | |
Erupción límnica | La repentina erupción del bióxido de carbono del agua del Lago profundo | Apagar Utilidades; Evacuar el edificio si es necesario; Determinar el impacto en el equipo, instalaciones y cualquier interrupción | |
Tornado | Violenta rotación columnas de aire que el descenso de los sistemas de nube de tormenta severa | Avisos de tornado monitor; Apague el equipo; Cierre de servicios públicos (energía y gas); Evaluar los daños una vez que pase la tormenta | |
Tsunami | Una serie de olas de agua causada por el desplazamiento de un gran volumen de un cuerpo de agua, típicamente un mar o un lago grande, generalmente causada por los terremotos, erupciones volcánicas, explosiones submarinas, deslizamientos de tierra, glaciar partos, los impactos del meteorito y otros disturbios por encima o por debajo del agua | Apague todos los equipos; escuchar los avisos de tsunami; Evacuar el área, si las inundaciones son posible; Compruebe el gas, el agua y las líneas eléctricas por daños; Evaluar los daños | |
Erupción volcánica | La liberación de magma caliente, ceniza volcánica o gases de un volcán | Apagar Utilidades; Evacuar el edificio si es necesario; Determinar el impacto en el equipo, instalaciones y cualquier interrupción | |
Artificial | Bioterrorismo | La liberación intencional o la difusión de agentes biológicos como medio de coerción | Informarse inmediatamente de su Salud pública funcionarios a través de los medios de comunicación sobre el curso correcto de acción; Si usted piensa que ha estado expuesto, rápidamente Retire la ropa y lave su piel; También poner en un HEPA para evitar la inhalación del agente[13] |
Disturbios civiles | Una perturbación provocada por un grupo de personas que pueden incluir sentadas y otras formas de obstrucciones, motín, sabotean y otras formas de delincuencia, recuperados está destinado a ser una manifestación para el público y el gobierno, pero pueden intensificarse en el caos general | Póngase en contacto con la aplicación de ley o policía local[14][15] | |
Fuego (urbano) | Incluso con edificio estricto códigos del fuego, gente aún perece innecesariamente en incendios | Intento de suprimir el fuego en etapas iniciales; Evacuar al personal de alarma, según sea necesario; Avisar a los bomberos; Apagar Utilidades; Avisos del tiempo en monitor | |
Derrame de sustancias peligrosas | El escape de sólidos, líquidos o gases que pueden dañar personas, otros organismos vivos, propiedad o el medio ambiente, desde su entorno controlado previsto como un contenedor. | Abandone el área y pedir ayuda al Departamento de bomberos local.[16] Si alguien fue afectado por el derrame, llame a la su línea de servicios médicos de emergencia local[17] | |
Nuclear y radiación accidentes | Un evento que implica liberación significativa de radiactividad al medio ambiente o una fusión de núcleo del reactor y que conduce a mayores consecuencias indeseables para la gente, el ambiente o las instalaciones | Reconocer que un incidente CBRN tiene o puede ocurrir. Recopilar, evaluar y difundir toda la información disponible para primeros auxilios. Establecer una visión general de la zona afectada. Proporcionar y obtener actualizaciones regulares y de primeros auxilios.[18] | |
Fallo de alimentación | Causados por las tormentas de invierno verano, relámpago o construcción de equipos de excavación en el lugar equivocado | Espere 5 – 10 minutos; Apagado todos los servidores después de un apagado; No use teléfonos, en caso de severo relámpago; Cerrar el circuito eléctrico principal que normalmente se encuentra en el sótano o el primer piso |
En el ámbito de la tecnología de la información propiamente, los desastres también pueden ser el resultado de un ataque de seguridad informática. Algunos de estos son: virus informáticos, ataques cibernéticos, ataques de denegación de servicio, Hacking, y malware explota. Estos normalmente son atendidos por seguridad de la información expertos.
Metodología de planificación
Según Geoffrey H. sería de la revista de recuperación ante desastres, todo el proceso implicado en el desarrollo de un Plan de recuperación ante desastres consta de 10 pasos:[2]
Obtención de compromiso de la alta gerencia
Para que un plan de recuperación ante desastres tener éxito, la responsabilidad central del plan debe residir en alta gerencia. Gestión es responsable de coordinar el plan de recuperación ante desastres y garantizar su eficacia dentro de la organización. También es responsable de asignar suficiente tiempo y recursos necesarios en el desarrollo de un plan efectivo. Los recursos que debe asignar la administración incluyen tanto las consideraciones financieras y el esfuerzo de todo el personal involucrado.
Establecimiento de un Comité de planificación
A planificación Comité es designado para supervisar el desarrollo e implementación del plan. El Comité de planificación incluye a representantes de todas las áreas funcionales de la organización. Los miembros del Comité clave incluyen habitualmente el Gerente de operaciones y el Gerente de procesamiento de datos. El Comité también define el alcance del plan.
Realizar una evaluación del riesgo
El Comité de planificación se prepara un Análisis de riesgos y un Análisis de impacto del negocio (BIA) que incluye una gama de posibles desastres, incluidas las amenazas naturales, técnicas y humanas. Cada área funcional de la organización se analiza para determinar la consecuencia y el impacto asociado con varios escenarios de desastres potenciales. El proceso de evaluación de riesgo también evalúa la seguridad de documentos críticos y registros vitales. Tradicionalmente, el fuego ha planteado la mayor amenaza para una organización. Destrucción humana intencional, sin embargo, también debe ser considerado. Un minucioso plan prevé la situación de "peor de los casos": destrucción del edificio principal. Es importante evaluar los impactos y consecuencias de la pérdida de información y servicios. El Comité de planificación también analiza los costos relacionados con la minimización de los riesgos potenciales.
Establecimiento de prioridades para el procesamiento y las operaciones
En este punto, las necesidades críticas de cada departamento dentro de la organización son evaluadas para priorizarlas. Establecer prioridades es importante porque ninguna organización posee recursos ilimitados y deben establecer criterios en cuanto a dónde asignar recursos primero. Algunas de las áreas a menudo revisadas durante el proceso de priorización son operaciones funcionales, personal clave y sus funciones, flujo de información, sistemas, servicios de procesamiento, documentación existente, los registros históricos y del Departamento políticas y procedimientos.
Procesamiento y las operaciones se analizan para determinar la cantidad máxima de tiempo que el departamento y la organización pueden funcionar sin cada sistema crítico. Luego haz esto mapeará en la Objetivo de tiempo de recuperación. Un sistema crítico se define como aquello que es parte de un sistema o procedimiento necesario para continuar sus operaciones debe un departamento, centro de cómputo, instalación principal o una combinación de éstas serán destruida o sean inaccesible. Un método utilizado para determinar las necesidades críticas de un departamento es documentar todas las funciones realizadas por cada departamento. Una vez que se han identificado las funciones primarias, las operaciones y procesos entonces se clasifican en orden de prioridad: esencial, importante y no esenciales.
Determinación de estrategias de recuperación
Durante esta fase, las alternativas más prácticas para su procesamiento en el caso de un desastre son investigadas y evaluadas. Se consideran todos los aspectos de la organización, incluyendo instalaciones físicas, hardware de computadora y software, enlaces de comunicaciones, archivos de datos y bases de datos, servicio al cliente proporcionado, las operaciones del usuario, el general sistemas de información gerencial Estructura (MIS), para el usuario final sistemas y cualquier otra operación de procesamiento.
Alternativas, dependiendo de la evaluación de la función de la computadora, pueden incluir: sitios calientes, sitios calientes, sitios de fríos, acuerdos recíprocos, la provisión de más de un centro de datos, la instalación y despliegue de múltiples sistema informático, la duplicación del centro de servicio, Consorcio arreglos, arriendo de equipos y cualquier combinación de los anteriores.
Escrito acuerdos para la recuperación específica están preparadas alternativas seleccionadas, especificando la duración del contrato, las condiciones de terminación, pruebas del sistema, costo, cualquier procedimientos especiales de seguridad, procedimiento para la notificación de cambios en el sistema, las horas de operación, del hardware específico y otros equipos necesarios para el procesamiento, los requisitos de personal, definición de las circunstancias que constituyen un emergencia, proceso para negociar extensiones de servicio, garantía de compatibilidad, disponibilidad de, otras cuestiones contractuales, prioridades y necesidades de recursos no-mainframe.
Recopilación de datos
En esta fase, recolección de datos lleva a cabo. Entre los datos recomendados reuniendo materiales y documentación que se incluye a menudo son diversas listas (empleado posición respaldo listado, lista de números de teléfono crítico, principal llamada lista, la lista de principales proveedores, lista de notificación), inventarios (equipos de comunicación, documentación, equipos de oficina, formularios, pólizas de seguros, grupo de trabajo de data centers y hardware informático, microordenador hardware y software, suministros de oficinaequipo de almacenamiento fuera del sitio de ubicación, teléfonos, etc.), registro de distribución, los programas de copia de seguridad/retención de archivos software y los datos, especificaciones ubicación temporal, cualquier otros tales otras listas de materiales, inventarios y documentación. Formas preformateadas se utilizan a menudo para facilitar los proceso de recopilación de datos.
Organizar y documentar un plan escrito
A continuación, un resumen del contenido del plan está preparado para guiar el desarrollo de los procedimientos detallados. Alta gerencia revisa y aprueba el plan propuesto. El contorno en última instancia, puede ser utilizado para el tabla de contenidos después de la revisión final. Otros cuatro beneficios de este enfoque son que (1) ayuda a organizar los procedimientos detallados, (2) identifica todos los pasos importantes antes de que el actual proceso comienza, (3) identifica los procedimientos redundantes que sólo necesitan una vez escrita la escritura y (4) proporciona un mapa de carreteras para el desarrollo de los procedimientos.
A menudo se considera mejores prácticas para desarrollar un formato estándar para el plan de recuperación ante desastres para facilitar la escritura de los procedimientos y la documentación de otras informaciones para ser incluidos en el plan más tarde. Esto ayuda a asegurar que el plan de desastre sigue un formato consistente y permite su mantenimiento futuro. Normalización también es importante si más de una persona está involucrada en los procedimientos de la escritura.
Es durante esta fase que se desarrolla el plan escrito real en su totalidad, incluyendo todos los procedimientos detallados para utilizarse antes, durante y después de un desastre. Los procedimientos incluyen métodos para mantener y actualizar el plan para reflejar cualquier cambio significativo de sistemas, externo o interno. Los procedimientos permiten una revisión periódica del plan por personal clave dentro de la organización. El plan de recuperación ante desastres se ha estructurado mediante un enfoque de equipo. Se asignan responsabilidades específicas al equipo adecuado para cada área funcional de la organización. Equipos responsables de funciones administrativas, instalaciones, logística, soporte a usuarios, copia de seguridad informática, restauración y otras áreas importantes en la organización se identifican.
La estructura de la organización de contingencia no puede ser el mismo que el organigrama existente. La organización contingencia generalmente está estructurada con equipos responsables principales áreas funcionales tales como las funciones administrativas, servicios, logística, soporte a usuarios, computadora backup, restauración y cualquier otra área importante.
El equipo directivo es especialmente importante porque coordina el proceso de recuperación. El equipo evalúa el desastre, activa el plan de recuperación y entra en contacto con los administradores del equipo. El equipo de gestión también supervisa, documentos y supervisa el proceso de recuperación. Es útil cuando los miembros del equipo de gestión son quienes toman las decisiones finales en el establecimiento de prioridades, políticas y procedimientos. Cada equipo tiene responsabilidades específicas que se completan para asegurar la ejecución exitosa del plan. Los equipos tienen asignado un gerente y un suplente en caso de que el director del equipo no está disponible. Otros miembros del equipo también pueden tener asignaciones específicas donde sea posible.
Desarrollo de criterios y procedimientos de prueba
Las mejores prácticas dictan que DR planes completamente probados y evaluados de forma regular (al menos anualmente). Thorough DR planes incluyen documentación de los procedimientos para probar el plan. Las pruebas proporcionará la organización con la seguridad de que todas las medidas necesarias están incluidas en el plan. Otras razones para la prueba incluyen:
- Determinación de la viabilidad y compatibilidad de copia de seguridad instalaciones y procedimientos.
- Identificar las áreas en el plan que necesita modificación.
- La capacitación a los encargados del equipo y los miembros del equipo.
- Demostrando la capacidad de la organización para recuperarse.
- Proporcionar motivación para mantener y actualizar el plan de recuperación ante desastres.
El plan de pruebas
Después de que haya completado los procedimientos de pruebas, una inicial "funcionamiento en seco"el plan se realiza mediante la realización de una prueba de recorrido estructurado. La prueba proporcionará información adicional sobre cualquier otras medidas que deberán ser incluidos, cambios en los procedimientos que no son eficaces y otros ajustes apropiados. Estos no podrán convertirse en evidentes a menos que se realiza una prueba real de funcionamiento en seco. El plan se actualiza posteriormente para corregir los problemas identificados durante la prueba. Inicialmente, la prueba del plan se realiza en secciones y después de horas normales de trabajo para minimizar las interrupciones a las operaciones globales de la organización. Como el plan es más pulido, pruebas futuras se producen durante el horario normal.
Tipos de pruebas incluyen: lista de verificación de pruebas, ensayos de simulación, pruebas paralelas y pruebas de interrupción completa.
Obtener aprobación del plan
Una vez que el plan de recuperación de desastres ha sido escrito y probado, el plan es sometido luego a la gerencia para su aprobación. Es responsabilidad de la gerencia superior que la organización tiene un plan documentado y probado. Es responsable de (1) establecer las políticas, procedimientos y responsabilidades para la integral de gestión planificación de contingencia, y (2) revisar y aprobar la contingencia plan anualmente, documentar tales comentarios por escrito.
Organizaciones que reciben información de procesamiento de oficinas de servicio Además, también necesita (1) evaluar la adecuación de los planes de contingencia para su agencia de servicios y (2) asegurará que su plan de contingencia es compatible con el plan de la oficina de su servicio.
ADVERTENCIAS/controversias
Debido a su alto costo, planes de recuperación ante desastres no están sin críticos. Cormac Foster ha identificado cinco "errores comunes" organizaciones hacen a menudo relacionadas con planificación de recuperación ante desastres:[19]
Falta de buy-in del
Un factor es la percepción por Dirección Ejecutiva DR planificación es "un simulacro de terremoto falso" o ejecutivos que no logran hacer DR planificación y preparación de una prioridad, son a menudo importantes contribuyentes al fracaso de un plan de DR.
RPO y RTO incompleto
Otro punto crítico es la imposibilidad de incluir cada uno de los procesos de negocio importante o un bloque de datos. "Todos los elementos de su plan de DR requiere un objetivo de tiempo recuperación (RTO) definir proceso máximo tiempo de inactividad o una recuperación punto objetivo (RPO) observando un punto de restauración aceptables. Cualquier cosa menos crea ondas que pueden extender el impacto del desastre". Por ejemplo, "nómina, contabilidad y el boletín semanal del cliente pueden no ser críticos en las primeras 24 horas, pero abandonado por varios días, pueden llegar a ser más importantes que cualquiera de sus problemas iniciales".
Miopía de sistemas
Un tercer punto de falla implica centrándose sólo en DR sin tener en cuenta las grandes necesidades de continuidad del negocio: "datos y sistemas de restauración después de un desastre son esenciales, pero todos los procesos de negocio en su organización va a necesitar apoyo y ese apoyo requiere planificación y recursos". Como ejemplo, espacio de oficina corporativa perdida ante un desastre puede resultar en una piscina instantánea de teletrabajadores que, a su vez, pueden sobrecargar de la empresa VPN exceso de trabajo durante la noche, el apoyo personal en un abrir y cerrar de ojos y causar serios embotellamientos y monopolios con el sistema telefónico PBX.
Seguridad
Cuando hay un desastre, los datos de una organización y los procesos del negocio se vuelven vulnerables. Como tal, la seguridad puede ser más importante que la velocidad cruda involucrada en RTO de un plan recuperación de desastres. La consideración más crítica entonces se convierte en asegurar los datos nuevos gasoductos: de nuevas VPN para la conexión de servicios de copia de seguridad fuera del sitio. Otra preocupación de seguridad incluye documentando cada paso del proceso de recuperación, algo que es especialmente importante en industrias altamente reguladas, agencias gubernamentales, o en casos de desastres que requieren los forenses post mortem. Cerrar o borrar remotamente dispositivos portátiles perdidos es también un área que requiera abordar.
Planes obsoletos
Otro aspecto importante que se pasa por alto a menudo implica la frecuencia con la que se actualizan DR Plans. Se recomiendan las actualizaciones anuales pero algunas industrias u organizaciones requieren actualizaciones más frecuentes debido a los procesos de negocios evolucionan o debido al rápido crecimiento de datos. Para mantener su relevancia, planes de recuperación de desastres deben ser una parte integral de todos Análisis de negocio los procesos y debe examinarse en cada adquisición corporativa principal, en cada lanzamiento de nuevos productos y en cada nuevo hito de desarrollo del sistema.
Software estándar de DRP
Varios proveedores ofrecen paquetes de software que ayuda a automatizar el proceso de planificación de recuperación ante desastres. KingsBridge ofrece el escudo de KingsBridge para este propósito. Escudo de KingsBridge es una recuperación ante desastres alojado en línea solución de planificación.[20] Soluciones de visión ofrece un producto llamado "DoubleTake RecoverNow" que proporciona backup de datos continua en tiempo real, proporcionando así protección continua de datos (CDP).[21] SunGard ofrece un producto denominado "Solución de gestión de continuidad" que automatiza el proceso de planificación de recuperación ante desastres.[22] Además, hay salidas en línea que proporcionan las plantillas y otros desastres planificación herramientas que están disponibles para libre descarga.[23]
Véase también
- Recuperación ante desastres
- Planificación de continuidad del negocio
- Federal Emergency Management Agency
- Esquema de rotación de backup
- Siete niveles de recuperación ante desastres
Referencias
- ^ a b c d Abram, Bill (14 de junio de 2012). "5 consejos para construir un Plan de recuperación ante desastres eficaz". Small Business Computing. 9 de agosto 2012.
- ^ a b c d haría, Geoffrey H. (1997). "Disaster Recovery proceso de planificación". Adaptado de volumen 5 #1. Mundo de recuperación ante desastres. 8 de agosto 2012.
- ^ Un Resumen de la recuperación ante desastres, planificación de proceso - desde el principio hasta el final. Global Consulting Solutions Inc. "recuperación de desastre de planificación, un Resumen: libro blanco." Marzo de 1999. Obtenido 08 de agosto de 2012.
- ^ : Definición Objetivo de punto de recuperación (RPO). Obtenido 10 de agosto de 2012.
- ^ "Objetivo de punto de recuperación (RPO): definición - qué objetivo de punto de recuperación (RPO) es decir?". Techopedia. Janalta Interactive Inc. 2012. 10 de agosto 2012.
- ^ a b El Plan de recuperación ante desastres. Chad Bahan. Asignación práctica GSEC versión 1.4b. SANS Institute InfoSec sala. Junio de 2003. Obtenido 24 de agosto de 2012.
- ^ https://www.DRII.org/Glossary.php
- ^ a b "Planificación de recuperación ante desastres - guía paso a paso". Universidad Estatal de Michigan. 9 de mayo 2014.
- ^ "Copia de seguridad Disaster Recovery". Backup remoto y Archiving de correo electrónico. 2010. 9 de mayo 2014.
- ^ "Planes de continuidad del negocio y recuperación ante desastres". Stone Crossing Solutions. 2012. archivado desde el original el 23 de agosto de 2012. 9 de agosto 2012.
- ^ "Recuperación ante desastres – beneficios de Software de planificación de desastres poniendo y plantilla y contratación con empresas que ofrecen planes de recuperación ante desastres de datos, soluciones y servicios: ¿por qué necesitas un Plan de recuperación ante desastres?". Cumplimiento de la continuidad. 07 de junio de 2011. Archivado de el original el 9 de mayo de 2014. 14 de agosto 2012.
- ^ Planificación de negocios continuidad (BCP): Plan de muestreo para las organizaciones sin fines de lucro. Páginas 11-12. Obtenido 08 de agosto de 2012.
- ^ ¿Qué debo hacer si ha habido un ataque de bioterrorismo. Edmond A. Hooker. WebMD. 09 de octubre de 2007. Obtenido 18 de septiembre de 2012.
- ^ Informe de la fuerza de tarea conjunta fuego/del policía en los disturbios civiles (FA-142): recomendaciones para la organización y operaciones durante disturbios civiles. Página 55. FEMA. Obtenido 21 de octubre de 2012.
- ^ Planificación de continuidad del negocio: Desarrollo de una estrategia para minimizar el riesgo y mantener las operaciones. Adam Booher. Obtenido 19 de septiembre de 2012.
- ^ Materiales peligrosos. Oficina de gestión de emergencias de Tennessee. Obtenido 07 de septiembre de 2012.
- ^ Gestión de incidentes de materiales peligrosos (MHMIs). Centro de Control de enfermedades. Obtenido 07 de septiembre de 2012.
- ^ Directrices para la primera respuesta a un incidente CBRN. Proyecto sobre estándares mínimos y directrices no vinculantes para los primeros en responder en cuanto a planificación, capacitación, procedimiento y equipo para químicos, biológicos, radiológicos y nucleares (CBRN) incidentes.] OTAN. Gestión de emergencias. Obtenido 21 de octubre de 2012.
- ^ Cinco errores que pueden matar a un Plan de recuperación ante desastres. En archive.org Cormac Foster. Dell Corporation. 25 de octubre de 2010. Obtenido 08 de agosto de 2012.
- ^ KingsBridge escudo: Una herramienta en línea de planificación para la continuidad del negocio y recuperación ante desastres. Sistemas de KingsBridge. Obtenido 14 de agosto de 2012.
- ^ DoubleTake RecoverNow (anteriormente, "Double-Take Backup). Soluciones de visión. Obtenido 14 de agosto de 2012.
- ^ Planificación & Software: las herramientas que necesitas minimizar el riesgo y asegurar la continuidad, Software de gestión de continuidad del negocio. SunGard Availability Services. Obtenido 23 de agosto de 2012.
- ^ Plantilla de Plan de recuperación ante desastres: Herramientas gratuitas para la prevención de desastres Plantilla de plano de recuperación ante desastres. Obtenido 07 de diciembre de 2012.