martes, 26 de octubre de 2010

Proceso de Continuidad del Negocio: ¿Qué hacer tras un incidente de seguridad en nuestra organización?

terremotoEl proceso de continuidad del negocio es el proceso clave para continuar con las actividades de una organización tras sufrir un incidente, permitiendo recuperarse de los problemas y logrando mantener los procesos de negocio con normalidad de la manera mas eficiente posible.

Algunos de los incidentes que impidan poder continuar con el negocio pueden ser ataques de hackers, terrorismo, malware o simplemente errores humanos, también pueden producirse desastres naturales como terremotos, incendios, inundaciones, fallas del suministro eléctrico (las mas comunes), cortes en la red de telefonía, etc. Cualquiera de estos incidentes producirán algún tipo de impedimento en las labores de negocio de una organización y será necesario contar con planes de contingencia para protegerse cuando alguno de ellos ocurra.

Cada tipo de incidente deberá poseer un tipo de acción diferente para ponerle solución de la manera mas óptima posible, es por ello necesario realizar una clasificación por niveles en función de su gravedad:

  • Crisis: incidentes que impiden continuar con las tareas normales de una organización durante un largo periodo de tiempo, produciendo graves pérdidas económicas.
  • Mayores: incidentes que producen un impacto negativo sobre algunos procesos de negocio.
  • Menores: incidentes que no producen impactos materiales.
  • Sin importancia: incidentes que no producen daños significativos.

Además, deberemos clasificar los sistemas de nuestra organización al igual que hemos hecho con los tipos de incidentes, por niveles de criticidad:

  • Crítico: Sin ésta función no pueden continuar determinados procesos en la organización.
  • Vital: Ésta función se podría realizar de manera manual por un período corto de tiempo.
  • Sensitivo: Ésta función se podría realizar de manera manual por un período largo de tiempo a un coste bajo.
  • No sensitivo: Ésta función podría ser prescindible por un largo periodo de tiempo.

Como intuiréis tras producirse un incidente, cuanto mas tiempo pase nos costará menos dinero el proceso de recuperación, pero perderemos mas dinero por la ausencia de determinados servicios, tal y como representa la siguiente figura:

image

Por ello es recomendable adelantarse a estos acontecimientos y contar con instalaciones de respaldo que permitan poder continuar con las actividades de la organización mientras se solucionan los problemas. Los tipos de instalaciones de respaldo de hardware son los siguientes:

  • Hot site: lugar donde contaremos con los elementos necesarios para ejecutar todas las actividades que se hayan definido como necesarias para continuar con el negocio. Los equipos y los elementos de red deben ser completamente compatibles y deben estar bien configurados para evitar errores a la hora de migrar las actividades de la organización original. Este tipo de servicios es caro.
  • Warm site: parecido al Hot site, pero no suelen contar con equipos configurados, por lo que requerirán mas horas para poder migrar las actividades de la organización, a cambio, son mas económicos que los Hot site:
  • Cold site: cuentan únicamente con el ambiente básico, luz, agua, conexión a internet, etc. Será necesario transportar equipos y montar el sistema completo. Es el mas económico.
  • Instalaciones duplicadas: cuentan exactamente con los mismos elementos que el sistema original y obligatoriamente deben encontrarse en un lugar diferente, para evitar que los mismos incidentes puedan haberle afectado. Son el sistema mas caro, pero el mas efectivo. Es el utilizado por las grandes organizaciones.
  • Acuerdos recíprocos: en ocasiones, algunas organización firman contratos para usar los sistemas de otra organización cuando sufren algún tipo de incidente. Suelen tener problemas de configuración, ya que no todas las organizaciones trabajan de la misma manera y con los mismos elementos SW y HW.

Hay que tener muy en cuenta que si nuestra organización sufre un incidente y no tenemos un buen proceso de continuidad del negocio, no contaremos ni con el entrenamiento suficiente, ni con los elementos necesarios para minimizar el daño y recuperarnos en el menor tiempo posible, pudiendo sufrir una pérdida larga en alguno de nuestros servicios y dañando así nuestra imagen ante clientes, perdiendo dinero al no continuar con nuestros procesos habituales e incluso perdiendo dinero en indemnizaciones a los clientes por no cumplir con los requisitos mínimos de entrega de servicio firmados en los contratos, como ha pasado por ejemplo con algunos ISPs.

Este proceso, es uno de los mas importantes en la norma ISO 20000, de gestión de los servicios TI y en ITIL, la biblioteca de infraestructuras TI, en ellas encontraréis mas información sobre el proceso de continuidad del negocio.

Hasta el próximo post, saludos!

No hay comentarios: