4 jun 2011

Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (II de V)

Buenas, hoy vamos a continuar la cadena de artículos sobre BCP hablando sobre los dos primeros pasos de un buen Plan de Continuidad del Negocio:

  1. Crear una política de continuidad del negocio.
  2. Analizar el impacto que tiene al negocio.

Crear una política de continuidad del negocio.

Como en más de una ocasión me habréis oído decir, "no todo en la vida son test de intrusión", con esta frase lo que me gustaría transmitiros es que de poco sirve tener una aplicación Web impenetrable, sin ningún tipo de vulnerabilidad, si no realizamos, por ejemplo, copias de seguridad de la BBDD y llega un día una inundación, incendio, etc. que nos deja KO todo el sistema y perdemos todos los datos de nuestros clientes.

Por ejemplo os dejo este vídeo de un CPD mojándose un poquito por culpa de una gotera en una tubería:

[youtube o7lHallu4tE nolink]

Por tanto deberemos crear una política adecuada a nuestra organización, bien documentada y probada, distribuirla entre los miembros y entrenarles para que sepan que deben hacer en cada momento (en vez de encender la cámara y ponerse a grabar... }:-P)

Habrá que tener en cuenta a la hora de crear una política que los incidentes no entienden a razonamiento, mañana mismo puede venir un terremoto y arrasar una sucursal donde se encuentre el CPD de nuestra organización, o romperse una cañería que inunde toda la planta donde se encuentren las cintas con las transacciones realizadas en un banco. Por ello la administración debe ser dinámica.

Tendremos que establecer una clasificación de los posibles incidentes para saber como actuar ante ellos según la escala. Una posible escala sería la siguiente:

  • Sin importancia: incidentes que apenas son notados, como un Servidor Web que se reinicia y deja inoperativo unos segundos un sitio Web.
  • Menor: incidentes leves que no afectan gravemente al negocio y derivan en pérdidas económicas para la organización leves.
  • Mayor: incidentes que impactan negativamente en los sistemas, pueden alcanzar a clientes externos. Afectan económicamente a la organización de una manera importante.
  • Crisis: situación catastrófica que impide la continuidad del negocio y que puede afectar gravemente a clientes. Pérdidas económicas importantes.
Analizar el impacto que tiene al negocio.

En la segunda fase del BCP nos encargaremos de identificar todos los posibles eventos que podrían tener un impacto negativo que impidiese continuar con las operaciones normales de la organización y por tanto repercutiesen negativamente en la misma.

La manera habitual de realizar el análisis es pasar un cuestionario a todos los empleados, solicitándoles toda la información que sepan sobre los procesos de negocio. los recursos que lo soportan y la participación del personal. Una vez realizado se contrasta la información de todos los cuestionarios y se sacan las conclusiones. Otra posibilidad de realizar el análisis es analizar a empleados clave.

¿Qué se debe preguntar en estos cuestionarios?

Yo plantearía entre otras las siguientes cuestiones:

1.- ¿Qué procesos de negocio hay en la organización? Evalúe cada uno de ellos según la siguiente escala de criticidad. (Una posible escala sería):

    • Extremadamente importante) De él depende la salud humana y la seguridad
    • Importante) Su pérdida causa importantes pérdidas económicas
    • Importancia media) Debe cumplirse la legalidad. Por ej. LOPD
    • Importancia menor) El problema afecta a pocos usuarios y las pérdidas son menores
2.- Identifique los recursos relacionados con los procesos de negocio más críticos que ha indicado en la pregunta anterior.3.- ¿En cuánto tiempo piensa que es posible recuperar cada uno de los procesos de negocio indicados en la pregunta 1?

Una vez que hayamos analizado los resultados de los cuestionarios y las entrevistas tendremos que realizar la curva de costos y tiempo tal y como se explicó en el artículo anterior para determinar el punto óptimo para restaurar cada proceso de negocio.

Eso es todo por hoy, en el siguiente artículo continuaremos por el tercer punto de la guía sobre Continuidad del Negocio.

 

saludos!

No hay comentarios:

Publicar un comentario