15 jun 2011

Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (IV de V)

Buenas a todos, hoy continuaremos con la cadena de artículos sobre BCP, tratando los siguientes puntos:

5.- Diseñar un plan de continuidad del negocio.

6.- Diseñar un procedimiento de restauración de los servicios.

7.- Entrenar a los miembros de la organización mediante simulacros de problemas.

Si recordáis, en anteriores post hablábamos sobre si podría ser más rentable para nuestra organización recuperarse de un incidente más rápidamente pero a un alto coste material, o más lentamente y a menor coste. Este período es conocido como "Ventana de interrupción". Dependiendo de la decisión que se haya tomado, se deberá barajar entre una de las siguientes estrategias de recuperación:

  • Hot Site: Sitio alternativo totalmente configurado para operar en unas pocas horas. Cuenta con conexiones de red, luz, etc. y equipos informáticos. Su precio es bastante elevado.
  • Cold Site: Sitio alternativo sin configurar. Su activación puede requerir varias semanas. Su precio es económico
  • Warm Site: Sitio alternativo configurado parcialmente para operar en unas pocas horas. Por lo general cuenta con conexiones de red, luz, etc., pero no incluye equipos informáticos. Su precio es mayor que un Cold Site pero menor que un Hot Site.
  • Instalaciones duplicadas: Son lugares para recuperar las instalaciones críticas, que tienen instalaciones idénticas a las originales y por tanto están listos para funcionar inmediatamente. Para considerarse una instalación duplicada válida no puede estar sujeta a los mismos desastres que la instalación original. Por ejemplo, si ambas estuviesen en un mismo edificio, y se fuese la luz, no serviría de nada tener una instalación alternativa.
  • Acuerdos entre sedes: Suele utilizarse en empresas grandes con varias sedes y consiste en utilizar las instalaciones unas de otras cuando las suyas fallan.

Ahora bien, ¿qué aspectos tenemos que tener en cuenta para diseñar un plan de continuidad del negocio efectivo?. A continuación os resumo brevemente los puntos principales:

  1. Procedimientos de evacuación: Lo primero en cualquier BCP debe ser conservar la vida humana.
  2. Procedimientos de declaración de desastres: Antes de que ocurra un desastre, deben existir unos procedimientos a través de los cuales se pueda declarar cualquier tipo de desastre, ya sea natural o no. Y evidentemente hay que saber distinguir un incidente de un desastre. Por ejemplo, la infección de un equipo en la red con el "conficker" es un incidente, pero si no se detiene a tiempo y se permite su propagación por la red puede convertirse en un desastre.
  3. Distinción de responsabilidades en el plan: Una vez declarado el plan debe quedar muy claro "quien tiene responsabilidad de qué". Si no se definen bien es probable que cuando ocurra un incidente, los empleados se pisoteen unos a otros y se echen las culpas si las cosas no van bien.
  4. Pasos para la recuperación del sistema: Se deben detallar punto por punto todos y cada uno de los pasos necesarios para recuperar todos los sistemas de la organización.
  5. Recursos para la recuperación del sistema: Además de los pasos, también es necesario detallar los recursos necesarios para recuperarse del incidente (nº de equipos, software, conexiones de red, conexiones eléctricas, mano de obra, etc.)

Además deberían distinguirse los siguientes equipos, formados por empleados de la organización:

Es normal, sobre todo porque más del 90% de las empresas son PYMEs, que no haya empleados suficientes para cubrir todos los equipos, por lo que se pueden unificar.

Según el National Institute of Standards and Technology (NIST), el alcance de un BCP comprendería los siguientes planes:

  • El BCP en sí mismo, encargado del mantenimiento de las operaciones de negocio.
  • Plan de Recuperación del Negocio (BRP): encargado de la recuperación de las operaciones de negocio.
  • Plan de Continuidad de Operaciones (COOP): encargado del mantenimiento de las funciones esenciales en un sitio alternativo.
  • Plan de Soporte de Continuidad/Contingencia TI: Encargado de recuperar las operaciones clave.
  • Plan de Comunicaciones de Crisis: Encargado de los avisos al personal en caso de incidente.
  • Plan de Respuesta a Incidentes Cibernéticos: Encargado de enfrentarse a los incidentes cibernéticos maliciosos como ataques hacking.
  • Plan de Recuperación de Desastres (DRP): Encargado de realizar procedimientos detallados para restaurar las operaciones en un sitio alterno.
  • Plan de Emergencia de Ocupantes (OEP): Encargado de minimizar la pérdida de vidas o lesiones.

Cuando esté todo listo habrá que realizar una serie de simulacros de emergencia para verificar que todo el personal sepa que hacer en cada momento. Estos simulacros no solo harán hincapié en incidentes como incendios o inundaciones, también se simularán terremotos, ataques informáticos, o incluso ataques terroristas.

 

Eso es todo por hoy, hasta el próximo post!

No hay comentarios:

Publicar un comentario