La recuperación ante desastres de TI (también conocida simplemente como recuperación ante desastres ( DR )) es el proceso de mantener o restablecer la infraestructura y los sistemas vitales tras un desastre natural o provocado por el hombre , como una tormenta o una batalla. La DR emplea políticas, herramientas y procedimientos centrados en los sistemas de TI que dan soporte a las funciones críticas del negocio. [ 1 ] Esto implica mantener todos los aspectos esenciales de un negocio en funcionamiento a pesar de eventos disruptivos significativos; por lo tanto, puede considerarse un subconjunto de la continuidad del negocio (BC). [ 2 ] [ 3 ] La DR asume que el sitio principal no es recuperable de inmediato y restaura los datos y servicios en un sitio secundario.
continuidad del servicio de TI
La continuidad del servicio de TI (ITSC) es un subconjunto de la BCP, [ 4 ] que se basa en las métricas (frecuentemente utilizadas como indicadores clave de riesgo ) de los objetivos de punto/tiempo de recuperación. Abarca la planificación de recuperación ante desastres de TI y la planificación de resiliencia de TI más amplia . También incorpora la infraestructura de TI y los servicios relacionados con las comunicaciones , como la telefonía y las comunicaciones de datos . [ 5 ] [ 6 ]
Principios de los sitios de respaldo
La planificación incluye la organización de sitios de respaldo, ya sean "activos" (que estén en funcionamiento antes de un desastre), "en preparación" (listos para comenzar a funcionar) o "en espera" (que requieran un trabajo sustancial para comenzar a funcionar), y sitios de reserva con el hardware necesario para garantizar la continuidad.
En 2008, la British Standards Institution lanzó una norma específica que complementaba la norma de continuidad del negocio BS 25999 , denominada BS25777, con el objetivo específico de alinear la continuidad informática con la continuidad del negocio. Esta norma fue retirada tras la publicación, en marzo de 2011, de la norma ISO/IEC 27301, «Técnicas de seguridad: directrices para la preparación de las tecnologías de la información y la comunicación para la continuidad del negocio». [ 7 ]
Objetivo de tiempo de recuperación
El Objetivo de Tiempo de Recuperación (RTO) [ 9 ] [ 10 ] es la duración de tiempo objetivo y un nivel de servicio dentro del cual se debe restaurar un proceso de negocio después de una interrupción para evitar una ruptura en la continuidad del negocio. [ 11 ]
Según la metodología de planificación de la continuidad del negocio, el RTO se establece durante el análisis de impacto en el negocio (BIA) por el/los propietario/s del proceso, lo que incluye la identificación de plazos para soluciones alternativas o manuales.

El RTO complementa al RPO. Los límites del rendimiento aceptable o "tolerable" de ITSC se miden mediante el RTO y el RPO en términos de tiempo perdido del funcionamiento normal de los procesos de negocio y datos perdidos o no respaldados durante ese período. [ 11 ] [ 12 ]
Tiempo de recuperación real
El tiempo real de recuperación (RTA) es la métrica crítica para la continuidad del negocio y la recuperación ante desastres. [ 9 ]
El grupo de continuidad del negocio realiza ensayos cronometrados (o simulacros reales), durante los cuales se determina y se perfecciona el RTA según sea necesario. [ 9 ]
Objetivo del punto de recuperación
Un objetivo de punto de recuperación (RPO) es el intervalo máximo aceptable durante el cual se pierden datos transaccionales de un servicio de TI. [ 11 ]
Por ejemplo, si el RPO se mide en minutos, entonces en la práctica, las copias de seguridad replicadas fuera del sitio deben mantenerse continuamente, ya que una copia de seguridad diaria fuera del sitio no será suficiente. [ 13 ]
Relación con RTO
Una recuperación que no es instantánea restaura los datos transaccionales durante un intervalo de tiempo sin incurrir en riesgos o pérdidas significativas. [ 11 ]
El RPO mide el tiempo máximo en el que los datos recientes podrían haberse perdido permanentemente, y no es una medida directa de la cantidad de datos perdidos. Por ejemplo, si el plan de continuidad del negocio consiste en restaurar hasta la última copia de seguridad disponible, entonces el RPO es el intervalo entre dichas copias de seguridad.
El RPO no está determinado por el régimen de copias de seguridad existente. En cambio, el BIA determina el RPO para cada servicio. Cuando se requieren datos fuera de las instalaciones, el período durante el cual podrían perderse los datos puede comenzar cuando se preparan las copias de seguridad, no cuando estas se almacenan de forma segura fuera de las instalaciones. [ 12 ]
Tiempos medios
Las métricas de recuperación se pueden convertir a métricas de fallos o utilizarse junto con ellas . Las mediciones comunes incluyen el tiempo medio entre fallos (MTBF), el tiempo medio hasta el primer fallo (MTFF), el tiempo medio de reparación (MTTR) y el tiempo medio de inactividad (MDT).
puntos de sincronización de datos
Un punto de sincronización de datos [ 14 ] es el punto en el que se completa una copia de seguridad. Detiene el procesamiento de actualizaciones mientras se completa una copia de disco a disco. La copia de seguridad [ 15 ] refleja la versión anterior de la operación de copia, no cuando los datos se copian a cinta o se transmiten a otro lugar.
Diseño del sistema
El RTO y el RPO deben estar equilibrados, teniendo en cuenta el riesgo empresarial, junto con otros criterios de diseño del sistema. [ 16 ]
El RPO está vinculado a los momentos en que las copias de seguridad se almacenan fuera de las instalaciones. El envío de copias síncronas a un servidor espejo externo permite gestionar la mayoría de los imprevistos. El uso de transporte físico para cintas (u otros soportes transportables) es habitual. La recuperación puede activarse en un sitio predeterminado. El espacio y el hardware compartidos fuera de las instalaciones completan el conjunto. [ 17 ]
Para grandes volúmenes de datos de transacciones de alto valor, el hardware se puede distribuir entre varios sitios.
Historia
La planificación para la recuperación ante desastres y las tecnologías de la información (TI) se desarrolló entre mediados y finales de la década de 1970, cuando los gerentes de centros de computación comenzaron a reconocer la dependencia de sus organizaciones respecto a sus sistemas informáticos.
En aquel entonces, la mayoría de los sistemas eran mainframes orientados al procesamiento por lotes . Se podía cargar un mainframe remoto desde cintas de respaldo mientras se recuperaba el sistema principal; el tiempo de inactividad era relativamente menos crítico.
La industria de recuperación ante desastres [ 18 ] [ 19 ] se desarrolló para proporcionar centros de computadoras de respaldo. Sungard Availability Services fue uno de los primeros centros de este tipo, ubicado en Sri Lanka (1978). [ 20 ] [ 21 ]
Durante las décadas de 1980 y 1990, la informática creció exponencialmente, incluyendo el tiempo compartido interno de las empresas, la entrada de datos en línea y el procesamiento en tiempo real . La disponibilidad de los sistemas informáticos se volvió más importante.
Los organismos reguladores intervinieron; a menudo se exigían objetivos de disponibilidad del 99,999%, 2, 3, 4 o 5 nueves, y se buscaban soluciones de alta disponibilidad para las instalaciones de sitios críticos .
La continuidad del servicio de TI se convirtió en algo esencial como parte de la Gestión de la Continuidad del Negocio (BCM) y la Gestión de la Seguridad de la Información (ISM), tal como se especifica en las normas ISO/IEC 27001 e ISO 22301, respectivamente.
El auge de la computación en la nube desde 2010 creó nuevas oportunidades para la resiliencia de los sistemas. Los proveedores de servicios asumieron la responsabilidad de mantener altos niveles de servicio, incluyendo disponibilidad y confiabilidad. Ofrecieron diseños de red altamente resilientes. La recuperación como servicio (RaaS) está ampliamente disponible y es promovida por la Cloud Security Alliance . [ 22 ]
Clasificación
Los desastres pueden ser el resultado de tres grandes categorías de amenazas y peligros.
- Entre los peligros naturales se incluyen fenómenos naturales como inundaciones, huracanes, tornados, terremotos y epidemias.
- Los riesgos tecnológicos incluyen accidentes o fallas en sistemas y estructuras, como explosiones en oleoductos, accidentes de transporte, interrupciones en los servicios públicos, fallas en presas y vertidos accidentales de materiales peligrosos.
- Amenazas provocadas por el ser humano, que incluyen actos intencionados como ataques de agresores activos, ataques químicos o biológicos, ciberataques contra datos o infraestructuras, sabotaje y guerra.
Las medidas de preparación para todas las categorías y tipos de desastres se dividen en las cinco áreas de misión de prevención, protección, mitigación, respuesta y recuperación. [ 23 ]
Planificación
Las investigaciones respaldan la idea de que implementar un enfoque de planificación pre-desastre más integral es más rentable. Cada dólar invertido en la mitigación de riesgos (como un plan de recuperación ante desastres ) ahorra a la sociedad cuatro dólares en costos de respuesta y recuperación. [ 24 ]
Las estadísticas de recuperación ante desastres de 2015 sugieren que un tiempo de inactividad de una hora puede costar [ 25 ].
- pequeñas empresas $8,000,
- organizaciones medianas $74,000 y
- grandes empresas de 700.000 dólares o más.
Dado que los sistemas de TI se han vuelto cada vez más críticos para el buen funcionamiento de una empresa, y posiblemente de la economía en su conjunto, la importancia de garantizar el funcionamiento continuo de esos sistemas y su rápida recuperación ha aumentado. [ 26 ]
Medidas de control
Las medidas de control son pasos o mecanismos que pueden reducir o eliminar las amenazas. La elección de los mecanismos se refleja en un plan de recuperación ante desastres (PRD).
Las medidas de control pueden clasificarse en controles destinados a prevenir que ocurra un evento, controles destinados a detectar o descubrir eventos no deseados y controles destinados a corregir o restaurar el sistema después de un desastre o un evento.
Estos controles están documentados y se llevan a cabo periódicamente mediante las denominadas "pruebas DR".
Estrategias
La estrategia de recuperación ante desastres se deriva del plan de continuidad del negocio. [ 27 ] Las métricas de los procesos de negocio se asignan a los sistemas y la infraestructura. [ 28 ] Un análisis de costo-beneficio destaca qué medidas de recuperación ante desastres son apropiadas. Diferentes estrategias resultan convenientes según el costo del tiempo de inactividad en comparación con el costo de implementar una estrategia en particular.
Las estrategias comunes incluyen:
- Copias de seguridad en cinta y enviadas fuera de las instalaciones.
- copias de seguridad en disco en las instalaciones (copiadas a un disco externo) o fuera de las instalaciones
- replicación fuera de las instalaciones, de modo que una vez que los sistemas se restauren o sincronicen, posiblemente a través de tecnología de red de área de almacenamiento.
- Soluciones de nube privada que replican metadatos (máquinas virtuales, plantillas y discos) en la nube privada. Los metadatos se configuran como una representación XML llamada Open Virtualization Format y se pueden restaurar fácilmente.
- Soluciones de nube híbrida que replican datos tanto en las instalaciones como en centros de datos externos. Esto proporciona una conmutación por error instantánea al hardware local o a centros de datos en la nube.
- Sistemas de alta disponibilidad que mantienen tanto los datos como el sistema replicados fuera de las instalaciones, lo que permite el acceso continuo a los sistemas y los datos, incluso después de un desastre (a menudo asociados con el almacenamiento en la nube ). [ 29 ]
Las estrategias de precaución pueden incluir:
- réplicas locales de sistemas y/o datos y uso de tecnología de protección de discos como RAID
- protectores contra sobretensiones: para minimizar el efecto de las sobretensiones en equipos electrónicos delicados.
- Uso de un sistema de alimentación ininterrumpida (UPS) y/o un generador de respaldo para mantener los sistemas en funcionamiento en caso de un fallo eléctrico.
- sistemas de prevención/mitigación de incendios, como alarmas y extintores.
- software antivirus y otras medidas de seguridad.
Recuperación ante desastres como servicio

La recuperación ante desastres como servicio (DRaaS) es un acuerdo con un proveedor externo para realizar algunas o todas las funciones de recuperación ante desastres en escenarios como cortes de energía, fallas de equipos, ciberataques y desastres naturales. [ 30 ]
Recuperación ante desastres para sistemas en la nube
Seguir las mejores prácticas puede mejorar la estrategia de recuperación ante desastres para sistemas alojados en la nube : [ 31 ] [ 32 ] [ 33 ]
- Flexibilidad: La estrategia de recuperación ante desastres debe ser adaptable para dar soporte tanto a fallos parciales (como la recuperación de archivos específicos) como a fallos totales del entorno.
- Pruebas periódicas : Las pruebas periódicas del plan de recuperación ante desastres permiten verificar su eficacia e identificar cualquier debilidad o deficiencia.
- Roles y permisos claros : Debe definirse con precisión quién está autorizado a ejecutar el plan de recuperación ante desastres, asignando permisos y accesos independientes a cada persona. Establecer una clara separación de permisos entre quienes pueden ejecutar la recuperación y quienes tienen acceso a los datos de respaldo ayuda a minimizar el riesgo de acciones no autorizadas.
- Documentación : El plan debe estar bien documentado y ser fácil de seguir para garantizar que los operadores puedan seguirlo eficazmente en situaciones de estrés.
Requisitos reglamentarios
Varios marcos regulatorios exigen capacidades de recuperación ante desastres para las organizaciones que manejan datos confidenciales. En el sector de la salud, la Regla de Seguridad de la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) exige que las entidades cubiertas y los socios comerciales establezcan planes de recuperación ante desastres como parte del estándar de planificación de contingencia (45 CFR 164.308(a)(7)). Esto incluye procedimientos para restaurar cualquier pérdida de datos, junto con requisitos para planes de respaldo de datos, planes de operación en modo de emergencia y pruebas y revisiones periódicas de los procedimientos de contingencia. [ 34 ]
Un Aviso de Propuesta de Reglamentación (NPRM) de diciembre de 2024 para actualizar la Regla de Seguridad de HIPAA propone requisitos de recuperación ante desastres significativamente ampliados, incluyendo la obligación de restaurar sistemas y datos críticos dentro de las 72 horas posteriores a una interrupción. La regla propuesta también exige análisis de criticidad para priorizar el orden de restauración del sistema, pruebas periódicas de los planes de recuperación ante desastres y controles técnicos separados para los sistemas de respaldo y recuperación. Estos requisitos fueron influenciados por incidentes a gran escala como el ciberataque Change Healthcare de 2024 , que interrumpió los sistemas de procesamiento de reclamaciones y pagos en todo el sistema de salud de EE. UU. durante semanas. [ 35 ]
En el sector financiero, el Consejo Federal de Examen de Instituciones Financieras (FFIEC) exige que las instituciones financieras mantengan y prueben planes de continuidad del negocio y recuperación ante desastres, con expectativas específicas para los objetivos de tiempo de recuperación basados en la criticidad de las funciones del negocio. [ 36 ]
Véase también
- sitio de respaldo
- BS 25999
- Planificación de la continuidad del negocio
- Continuidad del negocio
- Protección continua de datos
- Plan de recuperación ante desastres
- Respuesta ante desastres
- Gestión de emergencias
- Alta disponibilidad
- Plan de contingencia del sistema de información
- Recuperación en tiempo real
- Objetivo de consistencia en la recuperación
- Servicio de copia de seguridad remota
- Biblioteca de cintas virtuales
Referencias
- ↑ "«Continuidad de sistemas y operaciones: Recuperación ante desastres» . Universidad de Georgetown - Servicios de Información Universitaria. Archivado del original el 26 de febrero de 2012. Consultado el 20 de julio de 2024 .
- ↑ "Recuperación ante desastres y continuidad del negocio" . IBM . Archivado del original el 11 de enero de 2013. Consultado el 20 de julio de 2024 .
- ↑ "¿Qué es la gestión de la continuidad del negocio?" . Disaster Recovery Institute International . Consultado el 20 de julio de 2024 .
- ↑ "Defendiendo los estratos de datos" . ForbesMiddleEast.com . 24 de diciembre de 2013.
- ↑ M. Niemimaa; Steven Buchanan (marzo de 2017). "Proceso de continuidad de los sistemas de información" . ACM.com (Biblioteca digital de ACM) .
- ↑ "Directorio de continuidad del servicio de TI 2017" (PDF) . Disaster Recovery Journal . Archivado del original (PDF) el 30/11/2018 . Consultado el 30/11/2018 .
- ↑ "La norma ISO 22301 se publicará a mediados de mayo; la norma BS 25999-2 se retirará" . Business Continuity Forum . 3 de mayo de 2012. Consultado el 20 de noviembre de 2021 .
- ↑ "Consulta el Centro de Recursos para acceder a todo el contenido más reciente | Axelos" . www.axelos.com .
- 1 2 3 "Al igual que en el Draft de la NFL, ¿es el reloj el enemigo de tu tiempo de recuperación?" . Forbes . 30 de abril de 2015.
- ↑ "Tres razones por las que no puedes cumplir con tu tiempo de recuperación ante desastres" . Forbes . 10 de octubre de 2013.
- 1 2 3 4 "Entendiendo RPO y RTO" . DRUVA. 2008. Recuperado el 13 de febrero de 2013 .
- 1 2 "Cómo incorporar RPO y RTO en sus planes de copia de seguridad y recuperación" . SearchStorage . Consultado el 20 de mayo de 2019 .
- ↑ Richard May. "Encontrando RPO y RTO" . Archivado del original el 3 de marzo de 2016.
- ↑ "Transferencia y sincronización de datos entre sistemas móviles" . 14 de mayo de 2013.
- ↑ "Enmienda n.° 5 al S-1" . SEC.gov .
tiempo real... proporcionar redundancia y respaldo a...
- ↑ Peter H. Gregory (3 de marzo de 2011). «Establecimiento del tiempo máximo de inactividad tolerable: definición de objetivos de recuperación» . Planificación de recuperación ante desastres de TI para principiantes . Wiley. págs. 19-22 . ISBN 978-1118050637.
- ↑ William Caelli; Denis Longley (1989). Seguridad de la información para directivos . Springer. pág. 177. ISBN 1349101370.
- ↑ "¿Catástrofe? ¡Imposible que ocurra aquí!" . The New York Times . 29 de enero de 1995.
... registros de pacientes
- ↑ "Propiedad comercial/Recuperación ante desastres" . The New York Times . 9 de octubre de 1994.
...la industria de recuperación ante desastres ha crecido hasta
- ↑ Charlie Taylor (30 de junio de 2015). "La empresa tecnológica estadounidense Sungard anuncia 50 puestos de trabajo en Dublín" . The Irish Times .
Sungard... fundada en 1978.
- ↑ Cassandra Mascarenhas (12 de noviembre de 2010). "SunGard será una presencia vital en el sector bancario" . Wijeya Newspapers Ltd.
SunGard... el futuro de Sri Lanka.
- ↑ Categoría SecaaS 9 // Guía de implementación BCDR CSA, consultada el 14 de julio de 2014.
- ↑ "Identificación de amenazas y peligros y evaluación de riesgos (THIRA) y revisión de la preparación de las partes interesadas (SPR): Guía integral de preparación (CPG) 201, 3.ª edición" (PDF) . Departamento de Seguridad Nacional de EE. UU. Mayo de 2018.
- ↑ "Foro de planificación para la recuperación posterior a un desastre: Guía práctica, preparada por Partnership for Disaster Resilience" . Centro de Servicio Comunitario de la Universidad de Oregón, © 2007, www.OregonShowcase.org . Consultado el 29 de octubre de 2018 .
- ↑ "La importancia de la recuperación ante desastres" . Consultado el 29 de octubre de 2018 .
- ↑ "Plan de recuperación ante desastres informáticos" . FEMA. 25 de octubre de 2012. Consultado el 11 de mayo de 2013 .
- ↑ "El uso del marco de Prácticas Profesionales para desarrollar, implementar y mantener un programa de continuidad del negocio puede reducir la probabilidad de brechas significativas" . DRI International . 16 de agosto de 2021. Consultado el 2 de septiembre de 2021 .
- ↑ Gregory, Peter. Guía de examen integral para auditor de sistemas de información certificado (CISA), 2009. ISBN 978-0-07-148755-9Página 480.
- ↑ Brandon, John (23 de junio de 2011). "Cómo usar la nube como estrategia de recuperación ante desastres" . Inc. Recuperado el 11 de mayo de 2013 .
- ↑ "¿Qué es la recuperación ante desastres como servicio (DRaaS)? | Definición de TechTarget" . Recuperación ante desastres .
- ↑ Ingeniería de sistemas resilientes en AWS . O'Reilly Media. 11 de octubre de 2024. ISBN 9781098162399.
- ↑ Arquitecturas de aplicaciones en la nube: Creación de aplicaciones e infraestructura en la nube . O'Reilly Media. Abril de 2009. ISBN 9780596555481.
- ↑ Ingeniería de confiabilidad de sitios: Cómo Google gestiona sus sistemas de producción . O'Reilly Media. 23 de marzo de 2016. ISBN 9781491951170.
- ↑ "Guía sobre los requisitos de análisis de riesgos según la Regla de Seguridad de HIPAA" . Departamento de Salud y Servicios Humanos de EE. UU . Consultado el 14 de marzo de 2026 .
- ↑ "Regla de seguridad de HIPAA para fortalecer la ciberseguridad de la información sanitaria electrónica protegida" . Registro Federal. 6 de enero de 2025. Consultado el 14 de marzo de 2026 .
- ↑ "Gestión de la continuidad del negocio" (PDF) . Consejo Federal de Examen de Instituciones Financieras . Consultado el 14 de marzo de 2026 .
Lecturas adicionales
- Barnes, James (2001). Guía para la planificación de la continuidad del negocio . Chichester, NY: John Wiley. ISBN 9780470845431OCLC 50321216
- Bell, Judy Kay (2000). Planificación de supervivencia ante desastres : una guía práctica para empresas . Port Hueneme, CA, EE. UU.: Planificación de supervivencia ante desastres. ISBN 9780963058027OCLC 45755917
- Fulmer, Kenneth (2015). Planificación de la continuidad del negocio : una guía paso a paso con formularios de planificación . Brookfield, CT: Rothstein Associates, Inc. ISBN 9781931332804. OCLC 712628907 , 905750518 , 1127407034 .
- DiMattia, Susan S (2001). "Planificación para la continuidad". Library Journal . 126 (19): 32– 34. ISSN 0363-0277 . OCLC 425551440 .
- Harney, John (julio-agosto de 2004). "Continuidad del negocio y recuperación ante desastres: ¿Respaldar o cerrar?" . Revista AIIM E-DOC . ISSN 1544-3647 . OCLC 1058059544. Archivado del original el 4 de febrero de 2008.
- "ISO 22301:2019(en), Seguridad y resiliencia — Sistemas de gestión de la continuidad del negocio — Requisitos" . ISO.
- "ISO/IEC 27001:2013(en) Tecnología de la información — Técnicas de seguridad — Sistemas de gestión de la seguridad de la información — Requisitos" . ISO.
- "ISO/IEC 27002:2013(en) Tecnología de la información — Técnicas de seguridad — Código de buenas prácticas para los controles de seguridad de la información" . ISO.
Enlaces externos
- Glosario de términos para la continuidad del negocio, la recuperación ante desastres y las soluciones relacionadas con la replicación de datos y la tecnología de almacenamiento z/OS . recoveryspecialties.com . Archivado del original el 14 de noviembre de 2020. Consultado el 2 de septiembre de 2021 .
- "Plan de recuperación ante desastres informáticos" . Ready.gov . Consultado el 2 de septiembre de 2021 .
- "RPO (Objetivo de Punto de Recuperación) Explicado" . IBM . 8 de agosto de 2019. Consultado el 2 de septiembre de 2021 .
- Recuperación ante desastres
- Respaldo
- Continuidad del negocio
- Gestión de datos
- gestión de riesgos de TI