La Agencia Federal norteamericana de Gestión de Emergencias calcula que el 75% de las empresas que no cuentan con un plan de contingencia acaban cerrando en un plazo de 3 años tras sufrir un problema grave en sus servidores o sus datos. ¿Qué ocurriría si de repente se destruyeran los servidores u ordenadores de su empresa? ¿Y si les robaran todos sus datos? Si aún no se ha hecho estas preguntas, está en el citado 75% de empresas con mayor riesgo de cierre por no contar con un plan de contingencia. Pero incluso, si ya se hizo la pregunta, y ha empezado a poner medidas de seguridad para recuperar la información en caso de pérdida, le interesará saber cuándo, cómo y para qué poner en marcha un plan de contingencia ante desastres, y cuáles son las últimas tendencias en este terreno.
Lo primero que debe delimitar es el bien que quiere proteger y su valor. Es decir, no es lo mismo proteger y asegurar el correo electrónico, que blindar y poder recuperar bases de datos de clientes ligadas a CRM’s o ERP’s, todo tipo de datos comerciales y de análisis e incluso información confidencial, financiera y/o administrativa y fiscal.
En segundo lugar, se debe atender a los niveles de desastre a los que nos exponemos y nuestra capacidad actual para enfrentarnos a ellos. Por ejemplo ¿podríamos recuperar un email o archivo borrado por error? Si un servidor falla ¿cuánto tardaremos en reiniciarlo? Si por un accidente no pudiéramos acceder a la oficina física ¿hay modo de acceder a toda la información que maneja a diario la empresa? Es más ¿si la oficina fuera destruida en un desastre natural, lo perderíamos todo? Incluso, si la ciudad entera en la que está ubicada su oficina fuera engullida por un terremoto ¿podría salvar la información esencial para el funcionamiento de su empresa?
Una vez identificados estos distintos niveles de gravedad a partir de los niveles de desastre, se puede valorar y establecer los parámetros conocidos como RPO (Recovery Point Objective) y RTO (Recovery Time Objective), que aluden, respectivamente, a la magnitud tolerable de pérdida de datos en caso de accidente; y el máximo intervalo aceptable entre el momento de pérdida y la reposición de datos y servicios. Estos parámetros, que determinan nuestro techo de tolerancia ante pérdidas nos permitirán establecer los mínimos requisitos del plan de contingencia, teniendo en cuenta también nuestro presupuesto y nuestra dependencia de la tecnología. Obviamente, cuanto menor sea nuestra tolerancia, mayor será el coste de poner en pie un plan contingencia ante desastres.
En cuarto lugar, conviene adelantarse a acontecimientos y aventurar posibles escenarios, de modo que la puesta en marcha del plan de contingencia se ajuste lo mejor posible a la realidad. Por ejemplo ¿Qué consecuencias tendría una pérdida de datos para la organización? ¿A quién habría que avisar, colaboradores, clientes, proveedores, todos? ¿Cómo se hará? ¿A quién pedir ayuda en caso necesario? ¿Qué pasos seguirá? ¿Quién es el responsable de coordinar el plan de contingencia dentro de la organización?
Finalmente, no podemos estar seguros de que algo funcionará si no lo hemos probado. Será, por tanto, necesario, poner a prueba el plan de contingencia trazado, con las herramientas y servicios habilitados para ello y contando con las personas, de dentro y fuera de la organización, involucradas en el plan.
