7 jul 2011

Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (V de V)

Buenas a todos, hoy finalizaremos la cadena de artículos sobre BCP tratando los 4 puntos finales que nos quedaron en el tintero:

8. Probar el plan.

9. Implementar el plan.

10. Monitorear los sistemas.

11. Aprender de la experiencia y aplicarlo en el plan.

Tras haber diseñado nuestro plan de Continuidad de Negocio, será necesario ponerlo a prueba para verificar que nos será de utilidad en caso de que haya cualquier tipo de problema. Para ello se deberían realizar las siguientes tres pruebas:

  • Prueba en papel: Consiste en una reunión entre los principales responsables de la ejecución del BCP que analizarán lo que podría ocurrir en caso de interrumpirse algún servicio.
  • Prueba de preparación: Se emplean recursos reales para simular una caída en los sistemas.
  • Prueba operativa total: Como su nombre indica se encarga de probar las operaciones del sistema, se situaría entre la prueba de preparación y la caída de un sistema real.

El siguiente paso, tras probar el BCP sería su implementación en la organización, informando de ello a todos los usuarios de la misma.

Una vez puesto en producción el plan, deberán monitorizarse los sistemas para que en caso de que se produzca cualquier anomalía se pueda actuar a la mayor brevedad siguiendo los procesos implementados en el BCP (¿para algo lo hemos hecho verdad?)

Para monitorizar nuestros sistemas existen en el mercado una gran cantidad de herramientas que nos permiten analizar el estado de nuestros servidores, servicios, etc. Un par de ejemplos podrían ser las herramientas NagiosZabbix,

Además, dentro de la fase de monitorización se deberían incluir auditorías de seguridad con una corta periodicidad, que dependería del riesgo del negocio, aunque existe un tiempo recomendado de 6 meses, en los que un sistema estaría "más o menos seguro", ya sabéis que una auditoría prácticamente nunca detecta todas las vulnerabilidades de un sistema.

Según avance el tiempo y vayan ocurriendo sucesos nos iremos dando cuenta que nuestro BCP es mejorable, y deberemos ir actualizándolo con los nuevos procedimientos que vayamos aprendiendo para recuperar nuestros sistemas, y con nuevas técnicas de monitorización y herramientas que vayan apareciendo y vayamos adquiriendo, con nuevos riesgos, etc. Y lo más importante, según avancen los años los empleados de la organización irán rotando, por lo que los responsables del BCP también lo deberían ir haciendo, así que la fase de entrenamiento de dichos empleados en el BCP debe ser algo constante en el tiempo.

Eso es todo amigos, como habréis visto diseñar un BCP no es algo realmente complejo, pero si que requiere de mucho tiempo y recursos para poder llevarlo a cabo, aunque a la larga, es probable que compense en gran medida la inversión realizada.

 

saludos!

1 comentario:

  1. [...] Finalizamos la cadena de entradas sobre BCP con la quinta parte: Business Continuity Plan. Cómo sobrevivir ante una pérdida en nuestros sistemas de información (V... [...]

    ResponderEliminar