84
Perspectiva Empresarial
Continuidad de Negocio
SE REQUIERE UN PROCESO INTEGRAL DE GESTIÓN QUE IDENTIFIQUE POTENCIALES AMENAZAS A UNA ORGANIZACIÓN Y PROVEA UNA RESPUESTA EFECTIVA
Jesús Daniel Salas Campo
DIRECTOR DEL CENTRO DE TECNOLOGÍAS AVANZADAS DE LA INFORMACIÓN CSC Asturias
como se indica en Wikipedia, la Continuidad de Negocio está enfocada en asegurar que una organización continúe funcionando después de (e idealmente, durante) un desastre y no simplemente la capacidad de recuperarse después de dicho desastre.
Si queremos asegurar la Continuidad de Negocio debemos empezar por la identificación de los datos, servicios y personal crítico que son necesarios para que nuestro negocio pueda seguir funcionando, a pesar de que exista un incidente.
L
os atentados terroristas como el del 11-S en Nueva York, los desastres naturales como el
Katrina o accidentes como el incendio del Edificio Windsor y más recientemente los cortes eléctricos de Barcelona, están atrayendo la atención de las empresas hacia los entornos de Continuidad de Negocio. Las pérdidas económicas que suponen la destrucción de datos o la discontinuidad en los sistemas corporativos (desde el correo electrónico hasta los ERP) han concienciado a los CIO de que los gastos en entornos de alta disponibilidad son en realidad una inversión claramente rentabilizable. Según el Business Continuity Institute se entiende por Gestión de la Continuidad de Negocio como el proceso integral de gestión que identifica potenciales impactos que amenazan una organización y provee un marco para construir resistencia y la capacidad para dar una respuesta efectiva que salvaguarde los intereses de sus accionistas, reputación, marca y actividades de creación de valor. Es importante no confundirlo con la
La Continuidad de Negocio está enfocada en asegurar que una organización continúe funcionando después de un desastre
Entorno hardware
El centro de proceso de datos (CPD) en el que se albergarán nuestros sistemas es una de las claves para asegurar que tenemos servicio continuado. Si usamos la clasificación en cuatros niveles de The Uptime Institute, el nivel 4 es considerado
recuperación ante desastres ya que,
nº 17
diciembre 2007
�85
Perspectiva Empresarial
como “tolerantes a fallos” y exige SAI, múltiples proveedores de electricidad y conectividad, varios sistemas de aire acondicionado y extinción de incendios, etc., incluso una segunda localización con la que se replicarían todos los sistemas críticos. Estos CPD garantizan un 99.995% de disponibilidad de los sistemas alojados. Una vez implementadas las infraestructuras del CPD y como parte de la clasificación del mismo, se debe incluir redundancia también en los servidores de datos y comunicaciones: servidores clusterizados sobre hardware redundante y reemplazable en caliente, redes de almacenamiento (SAN) o la virtualizacion de servidores son algunas de las tecnologías que ayudan a minimizar las disrupciones de los sistemas corporativos que se ejecutan sobre ellos. Las copias de respaldo son siempre el último recurso en caso de desastre total, por lo que no es sólo importante decidir la tecnología más adecuada, sino también la política de periodicidad y almacenaje de las copias. Esto nos asegurará la restauración de nuestros datos con la menor perdida de información posible. Es ya habitual que las grandes multinacionales sitúen a estos profesionales en tres equipos localizados en América, Europa y Asia, que trabajan en su franja horaria, pero que en conjunto son tres turnos que garantizan el servicio las 24 horas “siguiendo al sol”. Adicionalmente, en caso de alguna disrupción de una localización, el resto de equipos pueden actuar reemplazando al turno con problemas. tema, como en la ISO 27001, pero actualmente está en desarrollo la norma ISO/IEC 24762 que será una guía para la provisión de servicios de recuperación de desastres como parte de la gestión de la continuidad del negocio tanto para servicios propios como para servicios externalizados. El BS 25999, también en desarrollo, contendrá una guía de buenas prácticas y las especificaciones sobre un sistema de gestión de continuidad de negocio que podrá ser auditado y certificado.
Figura: Capas criticas en los entornos de Continuidad de Negocio
Las copias de respaldo son siempre el último recurso en caso de desastre total
Metodología y certificación
En el diseño o posterior certificación de estos entornos de continuidad de negocio aun no existe un estándar que sea claramente seguido por el mercado. Sin duda ITIL tiene varios apartados donde se contemplan la mayoría de los procesos relacionados con la garantía de la continuidad del servicio, pero no tienen un enfoque integrado de todo el proceso. ISO/IEC han adoptado y desarrollado varios estándares que contemplaban parcialmente este
Usuarios y procesos clave
Aunque nos hemos centrado en los sistemas TIC que afectan a la continuidad de nuestro negocio, no debemos olvidar a los usuarios de esos sistemas. La disponibilidad de lugares alternativos de trabajo donde desplazar al personal crítico o la implantación de entornos de oficina móvil, pueden ser cruciales para que nuestro negocio no deje de funcionar a pesar de los problemas.
Siguiendo al sol
No se puede olvidar que, aunque los sistemas tolerantes a fallos puedan responder automáticamente ante un incidente, es fundamental la intervención humana para restablecer los medios principales o reparar los sistemas dañados, y esta intervención debe poder producirse las 24 horas de los 365 días. Aunque siempre es necesario disponer de personal en el CPD para las actuaciones in-situ, todo el proceso de monitorización y administración de servidores y aplicaciones puede gestionarse de manera remota.
Conclusión
La continuidad de negocio es un tema que debe ser considerado de forma inminente tanto por el sector privado como el sector público y que su implantación o externalización debe llevarse a cabo con una visión completa por empresas que tengan la capacidad de integrar soluciones end-to-end.
nº 17
diciembre 2007
�