Potegerse de la ola de desastres

Cualquier compañía debe prever, como parte de su política de seguridad, el desarrollo de planes de contingencia. En caso de emergencia o desastre, su activación permitirá dar continuidad al negocio, minimizando las consecuencias negativas a las que tuviese que enfrentarse.

Las notables pérdidas económicas a las que numerosas empresas tuvieron que hacer frente tras los atentados a las Torres Gemelas de Nueva York el 11-S o el más reciente incendio de la Torre Windsor, en Madrid, pusieron de manifiesto que muchas de ellas no habían previsto la posibilidad de llevar a la práctica lo que se conoce como un Plan de Recuperación ante Desastres (PRD). El resultado fue que muchas compañías tuvieron que cerrar sus negocios al verse incapaces de continuar con su actividad. Además, la información que manejaban y almacenaban se perdió ya que carecían de los medios adecuados para recuperarla.

Alerta

Afortunadamente, este tipo de incidentes o desastres son hechos aislados y excepcionales. Sin embargo, revelan la importancia de que las empresas sean conscientes de los peligros de diversa naturaleza a los que están expuestas. Un fallo en el suministro de la electricidad, una inundación, un acto de sabotaje por parte de un empleado resentido o una actualización malograda del software con el que se trabaja son algunas de las amenazas potenciales.

Las cifras facilitadas por algunos estudios revelan el alcance de la situación. Este es el caso de la compañía de análisis IT Gartner Group, que afirma que dos de cada cinco empresas que sufren un desastre quiebran en el plazo de cinco años. Por su parte, Datamation estima que el coste medio que ocasiona una caída del sistema informático es de 76.000 euros y que el 40% de los negocios que han padecido un desastre de estas características nunca llegan a recuperarse porque no disponen de un PRD.

Seguridad garantizada
Las empresas e instituciones saben que sus procesos de negocio dependen, cada vez más, de la información que manejan. Por esta razón, urge la adopción de una serie de medidas con un doble fin: garantizar la seguridad y la disponibilidad de los datos en caso de desastre. En este tipo de situaciones es imprescindible contar con la capacidad de trabajo adecuada que permita continuar con la tarea en el plazo de tiempo más corto posible, minimizando las consecuencias negativas. Como explica Miguel Ángel Martín, customer solution arquitect del proveedor de software de gestión CA: “Ningún sistema es completamente seguro. Por tanto, hay que definir una estrategia a seguir en caso de fallo o desastre. El secreto de responder correctamente está en haber previsto con anterioridad la situación y tener ya a punto las posibles soluciones”.

Alerta 2

Para lograrlo, surge lo que se conoce como Plan de Continuidad de Negocio (PCN) y el Plan de Contingencia (PC), ambos de carácter complementario. El primero es un texto en el que se detalla la gestión relativa a las pruebas, el mantenimiento y la ejecución de las acciones que una compañía pondrá en práctica para recuperar la continuidad de su negocio.

Un plan efectivo
Algunos de los temas que aquí se tratan hacen referencia a las personas implicadas en el PCN y a los procesos de alerta y activación que se desplegarían. Por otro lado, el PC implica ejecutar el PCN. En este caso, se detalla cómo (parte relativa a los procedimientos) y quiénes (hace referencia a los responsables) han de actuar ante la eventualidad de un desastre. De ambos planes se deduce, por tanto, que el factor de preparación es vital. “Para que un Plan de Contingencia sea efectivo, debe ser conocido por todos los empleados de antemano y haber sido también minuciosamente planeado, discutido y comunicado. Así, se obtiene que en el momento de producirse el imprevisto, cada persona reaccione, de forma automática, de acuerdo con lo estipulado”, reflexiona Javier González, director de marketing de Colt.

Estos planes deben estar muy bien documentados. De esta modo, hay que sopesar los tiempos de parada que la entidad en cuestión puede asumir y el coste que le supondría, por ejemplo, un fallo en el sistema o una caída. En este sentido, las soluciones de disaster recovery facilitan que la recuperación sea factible no solo para la información sino también para la operatividad del sistema; tanto, que es posible recuperarla y dejarla tal y como estaba en el instante del desastre en apenas unos minutos.

La protección de la información también se consigue a través del óptimo funcionamiento de las estructuras de tecnologías de la información de una compañía. Esto exige que los centros de procesamiento de datos se sometan a labores de mantenimiento con el fin de hacer frente, por ejemplo, a un fallo eléctrico o a un problema en la disipación del calor que concentran estas instalaciones. Tampoco está de más tener en cuenta otras recomendaciones básicas pero no menos fundamentales: antivirus, cortafuegos, parches de seguridad que actualizan aplicaciones, etc.

Ordenadores

Mínimo tiempo

Uno de los factores que determinan la tecnología más idónea y, en consecuencia, el coste que le supone a la empresa su implementación, es el tiempo de recuperación. Para determinar el alcance de una solución, se pueden barajar los siguientes criterios: Tiempo de Recuperación (TR) y Punto de Recuperación (PR).

Así pues, las empresas necesitan valorar el tiempo que transcurre desde que se desata el desastre hasta que el negocio comienza de nuevo a funcionar, además del punto, en la vida de los datos, a partir del cual se produjo la catástrofe. “Si el punto de recuperación dista mucho del momento del desastre, nuestros datos serán más antiguos y menos valiosos, con lo que el cliente perdería más información. Las soluciones van en esta línea ya que, cuanto más completa es la solución, más reducidos serán el TR y el PR”, señala Fernando Martínez, country presales manager de Symantec Ibérica. “También es preciso estudiar el nivel de recuperación que se necesite y el volumen de información que haya de salvaguardar”, matiza Javier Martínez, director técnico de NetApp. Y es que las exigencias de las empresas no son iguales. No obstante, y según datos facilitados por IBM, una pyme puede invertir en un servicio de continuidad y recuperación de desastres alrededor de 3.000 euros.

Lo que parece claro es que las empresas que invierten en políticas y planes de seguridad no tienen por qué temer consecuencias económicas o daños que afecten a una pérdida de imagen o confianza de sus clientes. El grado de concienciación de las firmas españolas sobre la necesidad de prevenir se va consolidando de manera paulatina. Un trabajo encargado a la consultora Freeform Dymanics, por parte de gestión CA, y que contó con la participación de 60 directivos españoles, arrojó la conclusión de que “un 70% está aumentando o aumentando mucho sus inversiones en tecnologías de la información para gestionar la seguridad”. La pérdida de la información crítica para el negocio y el tiempo de inactividad de los sistemas se revelaron como las inquietudes principales de estos responsables.

Rápida reacción
Cualquier episodio catalogado como desastre sirve para medir la capacidad de recuperación de las compañías. Este fue el caso de Deloitte & Touche que, tras los atentados del 11-S, trasladó su negocio a un centro de oficinas alternativo en la ciudad de Nueva York ese mismo fin de semana. Son muchas las compañías que tienen una actitud previsora ante un posible desastre. Entre la cartera de clientes de Hewlett-Packard (HP) se encuentra la empresa de transportes DHL. Con Planes de Recuperación ante Desastres (PRD) repartidos en distintos países, en caso de emergencia, la firma americana les dotaría de un centro de recuperación móvil en los alrededores de cualquier edifico que DHL tenga en Bruselas.

Por su parte, la compañía de alquiler de vehículos AVIS tiene contratado un servicio de call center de emergencia con IBM. Esto significa que, ante una posible contingencia, los trabajadores retomarían sus actividades en las instalaciones habilitadas por la empresa en Barcelona. Con capacidad para 240 puestos, ofrece un sistema automático de distribución de llamadas y grabación de voz.

La cadena textil Cortefiel también tiene un proyecto de recuperación de desastres con IBM. Si su infraestructura tecnológica central se viese afectada, retomaría sus actividades tras unas horas desde un centro alternativo que efectúa copias en tiempo real. En este caso, además de elaborar un plan de continuidad, se ha previsto la puesta en marcha de una instalación de respaldo a la que viajarán los datos provenientes del centro de proceso principal a través de una red de fibra óptica.

Para saber más:

Guía para un Plan de Contingencia de Sistemas TI

1- Establecimiento de una política de Plan de Contingencia. Consiste en un documento que recoge los objetivos del plan, así como los recursos humanos y financieros, ámbito, responsabilidades de las personas involucradas, etc.
2- Análisis del impacto del negocio: hay que identificar y priorizar los sistemas TI críticos.
3- Medidas preventivas que disminuyan las interrupciones de los sistemas TI.
4- Desarrollo de estrategias de recuperación.

Fuente: Nacional Institute of Standards and Technology (NIST).

Guía para diseñar un Plan de Recuperación ante Desastres

1- Manual de procedimientos. Hay que indicar qué es lo que hay que hacer y quién lo hará. El cómo, cuándo y los medios también deberán quedar señalados.
2- Instalaciones alternativas, conocidas también como centros de continuidad de negocio o centros de respaldo. Desde aquí se lleva a cabo la gestión de la información que la compañía necesita para continuar operando.
3- Infraestructuras TI. Proporcionan un equipamiento alternativo que permite seguir desarrollando la producción. Además, las líneas de comunicaciones precisas quedan establecidas en este apartado.
4- La información del centro alternativo debe duplicarse y almacenarse de forma adecuada para que no quede expuesta a daños similares a los que hayan afectado a las instalaciones habituales.
Fuente: HP

Garantizar la continuidad del negocio
Las necesidades de protección y los medios disponibles de las empresas no son iguales. Por este motivo, hay que evaluar las distintas soluciones que utilizarán. A continuación, esbozamos una parte de la oferta de los fabricantes.

Hewlett-Packard (HP): Madrid acoge el Centro de Continuidad de Negocio que la firma americana ha desarrollado para que una empresa mantenga y recupere su proceso de negocio crítico como consecuencia de un robo, un virus, un sabotaje, un desastre natural, etc.

IBM: tiene repartidos en nuestra geografía cuatro centros de recuperación preparados para almacenar hasta 100 Tb (Terabyte) de información. Además, brinda un servicio de respaldo con capacidad para 760 puestos de trabajo, que permite que las empresas ubiquen a su personal para la reanudación de sus actividades de manera casi instantánea.

Symantec: en el terreno de las tecnologías de almacenamiento, incluye en su portafolio la solución Enterprise Vault. Se trata de una plataforma cuyo software almacena, administra y localiza los datos corporativos presentes, por ejemplo, en el correo o en los sistemas de colaboración y administración de contenidos.

Colt: su servicio de backup remoto no precisa de una inversión inicial y se caracteriza por iniciar la recuperación de la información pasados 15 minutos de la solicitud pertinente. Igualmente, provee de diversos informes diarios on-line que hacen posible consultar, por ejemplo, parámetros de rendimiento.

Emerson Network Power: cualquier empresa debe disponer de un Sistema de Alimentación Ininterrumpida (SAI) para afrontar desde una falta de suministro eléctrico a un corte de la red. Asimismo, un SAI puede mejorar las condiciones de entrada de la energía. El modelo Liebert NX de Emerson está pensado para esta tarea.