30 may 2011

Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (I de V)

 

Buenas a todos, hoy damos comienzo a una nueva cadena de artículos en la que me gustaría hablaros de uno de los procesos fundamentales que deben llevarse a cabo en las organizaciones para proteger sus sistemas de información, el BCP o Proceso de Continuidad del Negocio.

El BCP consiste en una serie de pasos recomendables que deberían seguirse si se desea sobrevivir a un ataque de hackers, terrorismo, malware, errores humanos, desastres naturales como terremotos, incendios, inundaciones, fallas del suministro eléctrico), cortes en la red de telefonía, etc. que afecten a nuestros sistemas informáticos con el menor número de pérdidas económicas.

Pero antes de enfrascarnos en el tema creo que es necesario plantearse las siguientes preguntas:

¿Qué consideramos por pérdidas económicas? ¿Qué se considera una mayor pérdida económica, estar una semana con un servicio parado (por ej. una página Web) o restaurar el servicio en una hora, pero con un coste muy eleveado por invertir en un nuevo servidor, BBDD, etc.?

A estas preguntas únicamente las puede responder la propia organización, pero si que se puede dar una respuesta más o menos estándar. Para empezar debemos analizar la curva coste-tiempo como la que podéis ver en la siguiente gráfica:

Esta curva representa una idea muy sencilla, restaurar un servicio en un tiempo corto es caro, y restaurarlo en un tiempo largo es más barato, pero las pérdidas ocasionadas por restaurar un servicio en un tiempo largo pueden llegar a ser mayores que los costes de restaurarlo en un tiempo corto. Por lo que habrá un punto exacto que será el mínimo de la suma entre las curvas coste y tiempo, que será el número de días, horas y minutos y costos en los que sería óptimo restaurar nuestro servicio.

Para el caso de organizaciones que cuenten con sistemas críticos en los que las pérdidas económicas por estar unos pocos minutos inoperativos les supondría mala fama, pérdida de clientes, etc. les es rentable hacer la inversión para una restauración rápida, por ejemplo es el caso de los bancos.

En otro tipo de organizaciones en las que tener sus sistemas inactivos no les supone una gran pérdida, como por ejemplo, el sitio Web de una mercería, pues es normal que no tengan por ejemplo un Hot Site preparado para restaurar el servicio inmediatamente, ya que es muy caro.

Por lo que resumiendo, cada organización tendrá que realizar un estudio donde se evalúe qué sistemas críticos tiene, cómo afectaría la pérdida de cada uno de ellos independientemente y en conjunto, que riesgos hay de qué se vean afectados estos sistemas por alguno de los problemas comentados en el segundo párrafo de éste post, etc.

A continuación os presento un listado bastante completo sobre las etapas que deberían distinguirse en el ciclo de vida de un BCP:

 

  1. Crear una política de continuidad del negocio.
  2. Analizar el impacto que tiene al negocio.
  3. Clasificar las operaciones realizadas en la empresa y su nivel de criticidad.
  4. Identificar los procesos que soportan funciones más críticas.
  5. Diseñar un plan de continuidad del negocio.
  6. Diseñar un procedimiento de restauración de los servicios.
  7. Entrenar a los miembros de la organización mediante simulacros de problemas.
  8. Probar el plan.
  9. Implementar el plan.
  10. Monitorear los sistemas.
  11. Aprender de la experiencia y aplicarlo en el plan.
En el próximo post comenzaremos analizando los primeros puntos. Hasta la próxima, saludos!

 

 

No hay comentarios:

Publicar un comentario