lunes, 22 de mayo de 2017

BCM-Business Continuity Management en TIC

Las empresas del sector TIC ( Tecnologías de la Información y Comunicación) se enfrentan a un entorno cambiante y con grandes riesgo, por ello es habitual que los consultores   a la hora de mejorar la resiliencia de dichas organizaciones, propongan un “Plan de Continuidad de Negocio”, pero se debería hablar de implantar una “Gestión de la Continuidad de Negocio” o BCM (Business Continuity Management), puesto que se trata de poner en marcha una serie de procesos, actividades y capacidades interrelacionadas.

Uno de los posibles resultados del BCM puede ser la elaboración de uno o varios planes que definan cómo actuar ante un evento inesperado y recuperar una funcionalidad de negocio o una capacidad TIC, pero no son los únicos “outputs” del BCM, pero por desgracia, los auditores suelen limitarse a verificar la existencia de los mismos cuando evalúan las capacidades de recuperación de la organización.



Como se muestra en el diagrama anterior (según  ISO 22301/22313 y BS25999-1/2), antes elaborar los planos en la fase “Implantación”, hay que realizar las tareas asociadas con “Comprender la organización” y “Definir la Estrategia”.

Comprender la Organización  incluye tareas como los BIA (Business Impact Analysis, o análisis de impacto en los negocios), análisis de riesgos, o determinar los parámetros RTO/RPO.

Los BIA nos dicen qué le ocurre a lo largo del tiempo a mi organización en caso de que las distintas actividades relevantes estén paralizadas. En base a ello se ha fijado un objetivo de tiempo de recuperación (RTO) para cada una y se ha determinado qué niveles de servicio degradado se puede seguir prestando y qué se necesitaría en términos de TIC, personas, proveedores o instalaciones para prestar dicho servicio mínimo.

Los planes deberían ser concisos, prácticos, con toda la información relevante para gestionar un incidente y sin ningún dato superfluo, orientados a la acción, etc. Pero cuál debería ser el contenido de dichos planes y cómo enlazaría con la información proveniente de los BIA.  Existe un paso entre el BIA y el Plan, y este paso consiste en definir CÓMO pienso recuperar el proceso.

Un plan puede reflejar aquellos pasos que se deben seguir para empezar a utilizar mis métodos alternativos, pero antes habrá que haber decidido cuáles son esos métodos alternativos y eso no está en ninguna parte del BIA.

La fase de estrategia “identifica y selecciona tácticas y estrategias adecuadas para determinar cómo conseguir la continuidad y la recuperación a partir de una disrupción”.  ¿cómo consigo seguir trabajando en modo de contingencia? y ¿cómo podría volver a la normalidad (recuperación o restauración)?

Aunque es imposible tener una estrategia para cada posible amenaza (fuego, hacking, huelga, malware, gripe aviar, volcán islandés paralizando el tráfico aéreo, sabotaje, apocalipsis zombi o guerra termonuclear global). La lista de amenazas o causas de interrupción es infinita y, aunque contemple todas las que se me ocurran, la ley de Murphy dicta que la que finalmente acontezca será una en la que nadie había pensado antes.

El libro The route map to BCM ( basado en BS25999) indica: Se recomienda que se consideren cuatro escenarios a la hora de definir estrategias. La causa que subyace al escenario no debería tenerse en cuenta. En cambio, se debe considerar el efecto que tendrían.
. Imposibilidad de acceso a instalaciones
. Falta de personal
. Fallo de la tecnología
. Fallo de un proveedor clave
Pase lo que nos pase las consecuencias de la materialización de cualquier amenaza se traducirá en uno o varios de los 4 escenarios anteriores.


ANTECEDENTES

CLOUD Y DRP

Gracias a cloud, las soluciones de continuidad de negocio han evolucionado enormemente: simplificación de las arquitecturas, mayor facilidad de implantación y presupuestos TI, estamos hablando de soluciones en modo servicio, con pago por uso.

Las soluciones de continuidad de negocio en TIC están orientadas a un proceso de recuperación de servicios frente a una situación de desastre que pueda provocar el corte parcial o total de las actividades de una organización. Por ello, aplican a todo tipo de empresas, aunque en el caso de grandes corporaciones y administraciones públicas que necesitan continuar prestando servicio frente a cualquier posible contingencia cobran vital relevancia.

Antes de acometer un Plan de Recuperación de Desastres (DRP) se debe realizar un análisis
del impacto que puede tener una interrupción en los procesos de una organización: daños económicos, de imagen, etc. para estar en condiciones de identificar la criticidad de los distintos
procesos y establecer un orden a la hora de la restauración de los mismos.

Es necesario tener claros dos parámetros fundamentales:
RPO: (Recovery Point Objective). indica la pérdida de datos  máxima que se puede permitir una org. ante una situación de desastre. Si el RPO es cero  implicaría plantear replicaciones síncronas.
RTO (Recovery Time Objective).  indica el tiempo máximo que una organización puede permitirse ante una recuperación de datos. Si es cero, requeriría una arquitectura en activo/activo.



De esta forma, cuando se habla de soluciones de continuidad de negocio, podemos distinguir
tres tipos, según el RPO y RTO que puedan soportar los procesos de negocio:
Frío: RTO y RPO alto, (días). El sistema de almacenamiento de los datos está dirigido a cintas.
Templado: RTO y RPO medio, (horas). La replicación de los datos es asíncrona, apoyada en cabinas de datos para el almacenamiento, y basada en soluciones cloud, como el servicio VDC, para la parte de computación.
Caliente: RTO y RPO tienden a cero. El cliente basa sus servicios en dos arquitecturas idénticas ubicadas en diferentes salas o CPD, de manera que los usuarios no llegarían a detectar dicha contingencia.

FASES de un DRP
Tras la parte de análisis en la que es fundamental identificar qué procesos de la organización son los más críticos frente a una contingencia, qué dependencia tienen estos entre sí y cómo afectan a la empresa (riesgos), nos encontramos con las siguientes fases en un plan de continuidad de negocio:
Diseño: Consiste en desarrollar una solución coherente con las conclusiones extraídas
en el paso anterior y que satisfaga las necesidades, con un equilibrio coste/beneficios.
Ejecución: implementar y documentar las acciones necesarias detalladas en el diseño
Medición: Una vez implantadas las medidas, se recomienda realizar pruebas simuladas de contingencia que permitan examinar el plan y encontrar posibles fallos.



Con la virtualización han aparecido múltiples soluciones a la hora de diseñar y ejecutar un plan de continuidad de negocio, que garantizan a las empresas soluciones de disponibilidad y flexibilidad en un modelo de pago por uso, sin necesidad de realizar grandes inversiones. 

Dichas soluciones pueden abarcar desde un proyecto de BRS global a soluciones más capilares como:
VDC/DRaaS
Replicación de almacenamiento
Externalización de backup
Consultoría de continuidad de negocio
Salas blancas (el equipamiento es igual al existente en el CPD principal)


No hay comentarios:

Publicar un comentario