Después de atentados terroristas como el del 11-S en Nueva York, desastres naturales como el Katrina o accidentes como el incendio del Edificio Windsor y más recientemente los cortes eléctricos de Barcelona, se está atrayendo la atención de las empresas hacia los entornos de Continuidad de Negocio. Las pérdidas económicas que supone la destrucción de datos o la discontinuidad en los sistemas corporativos (desde el correo electrónico hasta los ERPs) han concienciado a los CIOs de que los gastos en entornos de alta disponibilidad son en realidad una inversión claramente rentabilizable.
Según el Business Continuity Institute, se entiende por Gestión de la Continuidad de Negocio “el proceso integral de gestión que identifica potenciales impactos que amenazan una organización y provee un marco para construir resistencia y la capacidad para dar una respuesta efectiva que salvaguarde los intereses de sus accionistas, reputación, marca y actividades de creación de valor”.
Es importante no confundirlo con “la recuperación ante desastres ya que, como se indica en Wikipedia, la Continuidad de Negocio esta enfocada en asegurar que una organización continúe funcionando después de (e idealmente, durante) un desastre y no simplemente la capacidad de recuperarse después de dicho desastre”.
Si queremos asegurar la Continuidad de Negocio debemos empezar por la identificación de los datos, servicios y personal crítico que son necesarios para que nuestro negocio pueda seguir funcionando, a pesar de que exista un incidente.
Entorno hardwareEl centro de proceso de datos (CPD) en el que se albergarán nuestros sistemas es una de las claves para asegurar que tenemos servicio continuado.
Si usamos la clasificación en cuatros niveles de
The Uptime Institute, el nivel 4 es considerado como “tolerantes a fallos” y exige SAIs, múltiples proveedores de electricidad y conectividad, varios sistemas de aire acondicionado y extinción de incendios, etc. E incluso una segunda localización con la que se replicarían todos los sistemas críticos. Estos CPDs garantizan un 99.995% de disponibilidad de los sistemas alojados.
Una vez implementadas las infraestructuras del CPD y como parte de la clasificación del mismo, se debe incluir redundancia también en los servidores de datos y comunicaciones: servidores clusterizados sobre hardware redundante y reemplazable en caliente, redes de almacenamiento (SANs) o la virtualización de servidores son algunas de las tecnologías que
ayudan a minimizar las disrupciones de los sistemas corporativos que se ejecutan sobre ellos.
Las copias de respaldo son siempre el último recurso en caso de desastre total, por lo que no sólo es importante decidir cuál es la tecnología más adecuada, sino también la política de periodicidad y almacenaje de las copias. Esto nos asegurará la restauración
de nuestros datos con la menor pérdida de información posible.
Siguiendo al solNo se puede olvidar que, aunque los sistemas tolerantes a fallos puedan responder automáticamente ante un incidente, es fundamental la intervención humana para restablecer los medios principales o reparar los sistemas dañados, y esta intervención debe poder producirse las 24h de los 365 días.
Aunque siempre es necesario disponer de personal en el CPD para las actuaciones in-situ, todo el proceso de monitorización y administración de servidores y aplicaciones puede gestionarse de manera remota.
Es ya habitual que las grandes multinacionales sitúen a estos profesionales en tres equipos localizados en América, Europa y Asia, que trabajan en su franja horaria, pero que en conjunto son tres turnos que garantizan el servicio las 24 horas “siguiendo al sol”. Adicionalmente, en caso de alguna disrupción de una localización, el resto de equipos pueden actuar reemplazando al turno
con problemas.
Metodología y certificación En el diseño o posterior certificación de estos entornos de continuidad de negocio aún no existe un estándar que sea claramente seguido por el mercado.
Sin duda ITIL tiene varios apartados donde se contemplan la mayoría de los procesos relacionados con la garantía de la continuidad del servicio, pero no tienen un enfoque integrado de todo el proceso.
ISO/IEC han adoptado y desarrollado varios estándares que contemplaban parcialmente este tema, como en la ISO 27001, pero actualmente está en desarrollo la norma ISO/IEC 24762 que será una guía para la provisión de servicios de recuperación de desastres como parte de la gestión de la continuidad del negocio tanto para servicios propios como para servicios externalizados.
El BS 25999, también en desarrollo, contendrá una guía de buenas prácticas y las especificaciones sobre un sistema de gestión de continuidad de negocio que podrá ser auditado y certificado.
Usuarios y procesos clave Aunque nos hemos centrado en los sistemas TIC que afectan a la continuidad de nuestro
negocio, no debemos olvidar a los usuarios de esos sistemas.
La disponibilidad de lugares alternativos de trabajo donde desplazar al personal crítico o la implantación de entornos de oficina móvil pueden ser cruciales para que nuestro negocio no deje de funcionar a pesar de los problemas.
Conclusión La continuidad de negocio es un tema que debe ser considerado de forma inminente tanto por el sector privado como por el sector público. Su implantación o externalización debe llevarse a cabo con una visión completa por empresas que tengan la capacidad de integrar soluciones end-to-end.
Para obtener más información
contacte con nosotros.
