Un plan de recuperación de desastres (DRP Disaster Recovery Plan) detalla los procedimientos que una empresa ejecuta sobre cómo responder en caso de un desastre natural o una situación de emergencia que provoque la inaccesibilidad de la oficina durante algún tiempo.

Este hace parte de los sistemas de gestión de la continuidad de negocio (SGCN), con el enfoque de la Infraestructura Tecnológica de la organización.

Un plan de recuperación de desastres es un documento que describe cómo responderá una organización a varios tipos de emergencias y catástrofes; explica las funciones y responsabilidades de los individuos de una organización en caso de emergencia; también explica qué procesos se utilizarán si hay una interrupción de las operaciones comerciales o si hay cambios en la ubicación física para llevarlas a cabo debido a una emergencia o desastre.

Algunas de las situaciones de emergencia que se pueden presentar son:

• Incendios
• Inundaciones
• Huracanes
• Tormentas severas
• Tsunamis
• Terremotos
• Volcanes
• Incidentes de seguridad informática
• Fallas de equipamientos
• Fallas de energía
• Fallas de servicios públicos
• Pandemias
• Sabotaje
• Huelgas y paros laborales
• Disturbios civiles
• Terrorismo

¿Cuáles son las consecuencias de no disponer de un DRP?

Pérdida de costes fijos: es decir, los salarios de los empleados, alquileres, suministros, etc

Pérdida de ingresos: si su empresa está parada no produce, si no produce, no factura.

Pérdida por clientes perdidos: si la duración del tiempo de recuperación es muy elevado, se corre el riesgo de que los clientes busquen otro proveedor.

Pérdida de reputación: esta es una pérdida intangible e incuantificable pero, sin duda, también afectará en mayor o menor medida al negocio..

Pérdidas por reposición o reparación: todo aquello que se haya podido estropear o corromper hay que reponerlo y esto tiene un costo.

De acuerdo con datos de IBM, de aquellas empresas que han tenido una pérdida de registros automatizados por un desastre, solo el 6% sobrevive a largo plazo, 51% cierra en menos de un año y 43% nunca vuelve a abrir.

Etapas del DRP

Teniendo en cuenta que el DRP hace parte del sistema de gestión de la continuidad de negocio, la metodología de su estructuración es similar:

1. Identificación y evaluación de los riesgos
2. Análisis del impacto al negocio
3. Selección de estrategias de recuperación
4. Capacitación o entrenamiento
5. Pruebas del plan
6. Mantenimiento del plan

Herramientas de desarrollo

Durante el proceso de estudio e implementación del DRP las fuentes en las cuales se puede apoyar el proceso son las siguientes normas que tienen en común la gestión de continuidad de negocio de una organización:

ISO 22301:2019:
El nombre completo de esta norma es Security and Resilience Business Continuity Management Systems Requirements.
La norma ISO 22301:2019 utiliza el ciclo Planificar, Hacer, Verificar, Actuar (PDCA por sus siglas en inglés: Plan-Do-Check-Act) para la planeación, el establecimiento y la implementación eficaz del SGCN en una entidad.
 
ISO 31000:2018
Esta norma establece directrices para gestionar el riesgo que enfrentan las organizaciones.
El proceso de la gestión del riesgo debería ser una parte integral de la gestión y de la toma de decisiones. Puede aplicarse a nivel estratégico, operacional, de programa o de proyecto.
 
ISO/IEC 27001:2013
Gestión de seguridad de la información.
El estándar ha sido diseñado con el objetivo de brindar los requisitos para establecer, implementar, mantener y mejorar continuamente un SGSI.
EL SGSI preserva la confidencialidad, la integridad y la disponibilidad de la información, gracias al uso de la gestión del riesgo y brinda confianza a las partes interesadas debido a que los riesgos son gestionados de forma adecuada.
 
Guía Técnica Colombiana GTC-ISO/TS 22317
Directrices para el Análisis de Impacto en el Negocio (BIA).
Esta guía brinda una orientación detallada a través de un conjunto de buenas prácticas de la industria para el establecimiento, la implementación y el mantenimiento de un BIA alineado con los requisitos de la NTC 5722 (ISO 22301).
 

Fuentes. Repositorio Institucional Universidad Piloto de Colombia, iso.org