Regresar al inicio Su comunicación es importante
Regresar al inicio
 
 
 
(Nuevo) - "Hoy en día, solamente son necesarias malas intenciones y una conexión a Internet para sembrar el caos u obtener otros intereses". ¿Como prevenir este fenómeno?. Contáctenos.
Recopilación de noticias, artículos de interés, recursos y comentarios sobre internet y seguridad. clic aquí

Suscríbase hoy mismo a nuestro RENOVADO boletín. Click aquí.

“La violencia crea más problemas sociales que los que resuelve. “

Martin Luther King

ECUADOR
Policía Nacional
Defensa civil
Bomberos - Quito
Hospital Metropolitano
Cruz Roja
Ministerio de Defensa Nacional
Dirección de Movilización
INAMHI
Echeverría.Biz
Diario La Hora
Kre@tivex
Computronic
Ecuador Inmediato
Black Box Ecuador
QuickSat
Opening 2002 - Training and Events
Cámara de Comercio Ecuatoriano Canadiense
INTERNACIONALES
Directorio - MundoPC.NET
Noticias AFP
Diario Las Américas
El Nacional (Venezuela)
El Comercio (Perú)
El País (España)
Guardian Unlimited (UK)
BBC Mundo
New York Times
National Post (Canadá)
El Tiempo (Colombia)
SEGU-INFO.com.ar
Cyber Sitte (Colombia)
Fondo de Prevención Vial (Colombia)
Dynamic Korea
Usuario:
Clave:

 
Quito - Ecuador.

Planificando para un desastre

En nuestro país a diferencia de los Estados Unidos estamos a salvo de los efectos de huracanes y tornados, sin embargo la definición de desastre es relativa a los efectos y no a las causas que los provocan. El terrorismo informático, el vandalismo, los incendios o un simple robo, puede tener los mismos efectos devastadores cuando nos referimos a las infraestructuras informáticas y las aplicaciones críticas a las que dan soporte, que el Huracán Hugo.

En nuestra cultura es muy frecuente pensar que las desgracias jamás nos sucederán a nosotros. Pensamos en los males ajenos cuando oímos la noticia de que a tal o cual empresa ha sido victima de un robo o han sufrido un incendio. Inconscientemente pensamos que algo deberíamos hacer para poder hacer frente a tales situaciones, pero apenas transcurrido el impacto de la noticia, nos imaginamos la cara de quien debe autorizar la inversión para prevenir o corregir la aparición de un desastre e inmediatamente pasamos página.

La seguridad sigue siendo la gran asignatura pendiente de muchas empresas españolas y uno de los sectores de mayor crecimiento en nuestro mercado, si bien es cierto que la irrupción de nuevas amenazas y sobre todo el haber sufrido algún contratiempo previo ha despertado el interés de las empresas para adoptar medidas de índole preventiva, el plan de contingencia informático, sin embargo, suele ser olvidado y pospuesto año tras año en el presupuesto informático.

Mire a su alrededor, hable con empresas de su entorno, preferiblemente con algún amigo suyo que tenga poder de decisión sobre inversiones informáticas (de otro modo, será difícil que acepte públicamente sus carencias en materia de seguridad) y compruébelo Ud mismo. ¿Cuantas empresas han analizado el riesgo y el impacto que supondría la pérdida del sistema informático por 1, 2 días, una semana o 2 meses.? ¿Podrían realmente garantizar la supervivencia de la empresa?.  El mejor escenario: pérdidas cuantiosas. El peor: El cierre de la empresa.

Durante el atentado con bomba en el aparcamiento del World Trade Center de Nueva York hace una década, las pérdidas materiales fueron escasas, hubieron grandes destrozos en los sótanos del edificio pero las plantas superiores quedaron intactas. No obstante se dieron dos circunstancias que representaron la banca rota y el cierre definitivo de decenas de compañías; la primera: se trataba de una atentado terrorista; la segunda: las características de los edificios, edificios de alto riesgo (rascacielos) que debían ser desalojados e inspeccionados por los servicios de seguridad, mientras duraran las investigaciones. El resultado fue, que durante un periodo que osciló entre uno y dos meses aproximadamente, numerosos CPDs con la más moderna tecnología quedaron totalmente aislados, sin posibilidad de que nadie pudiera entrar en ellos. El motivo fue que las torres fueron “selladas” durante ese periodo para facilitar las tareas de desescombro, los trabajos de investigación y poder garantizar los umbrales mínimos de seguridad para los miles de ocupantes en ambas torres.

El restablecimiento de la seguridad, fue el causante de que numerosas empresas no tuvieran acceso a su mayor activo “perfectamente preservado”: la información. Como consecuencia muchas de las empresas que no disponían de los datos fuera de los límites físicos del edificio, no tuvieron acceso a la información básica para gestionar la tesoreria, atender a los clientes, etc… En los casos donde no exitia el DRP o este no incluyo la hipótesis de “pérdida de acceso” (ver más adelante), significó la desaparición de la compañía.

Años más tarde durante los atentados del 11-S en las mismas torres los DRPs eran una realidad, los daños materiales fueron asombrosos, sin embargo quedó patente que aquellos que disponían de un Plan de Contingencia de los que no habian hecho nada al respecto, los primeros y tras un breve lapso de tiempo, (desde horas a unos pocos días) estaban dando servicio desde los respectivos centros de respaldo alternativos.

Algunos datos que ilustran la magnitud del desastre:

  • 14,600 empresas dentro del World Trade Center y sus alrededores fueron afectados por el desastre.
  • 13.4 millones  de pies cuadrados de espacio en seis edificios fueron totalmente destruidos
  • 36 millas de Nuevo cableado tuvo que ser instalado por Consolidated Edison
  • 652 compañias ocupando 28.6 million pies cuadrados fueron temporalmente o permanentemente evacuados y desplazados por la destrucción.
  • 200,000 lineas de comunicación Verizon fueron afectadas por fallos en la red; y
  • 12,000 Clientes de Consolidated Edison perdieron el suministro eléctrico.

Un DRP debe centrarse en tres hipótesis- pérdida de acceso, pérdida de recursos y pérdida de servicio- para cada uno de estos escenarios debe configurarse la contingencia adecuada valorando el riesgo asociado. Finalmente cada unidad operativa estará en disposición de:

  • Valorar sus implicaciones en relación con cada escenario.
  • Calcular el coste aproximado asociado a la interrupción del negocio.
  • Proponer un plan para el restablecimiento de las operaciones.
  • Proveer alternativas para las operaciones durante y después del desastre.

Los eventos de pérdida de acceso incluye:

  • Fuego
  • Explosión
  • Terremoto
  • Inundaciones
  • Tormentas de alta intensidad (huracanes, tormentas invernales, y similares)
  • Material Peligroso
  • Tornados
  • Volcanes
  • Terrorismo

La pérdida de recursos incluye:

  • Sabotaje informático
  • Vandalismo/violencia/homicidio
  • Robo

La pérdida de servicio incluye: Incapacidad para acceder a los datos

  • Interrupción del fluido eléctrico
  • Fallos de comunicaciones
  • Rotura de los conductos de gas, agua, y desagues

El equipo de DRP debe contra con un representante de cada uno de los siguientes departamentos:

  • Dirección
  • Informática
  • Oficina Técnica, servicios Generales, mantenimiento
  • Administración

Otros casos menos espectaculares pero igualmente nocivos los tenemos en nuestro país, desde la empresa que tenía todos los desarrollos de su programa de I+D en un servidor a parte y con sus copias de seguridad al lado. Ausencia de política de seguridad y ausencia de DRP se juntan en este caso real que provocó que se perdieran meses de trabajo ya que les fueron sustraidos los servidores y las copias durante la noche.

Otro caso es el de una empresa dotada con un moderno CPD ubicado en el sotano de un céntrico edificio de Barcelona. Dicho sótano fue literalmente inundado por toneladas de agua que los bomberos vertieron para sofocar un incendio tras plantas más arriba, el resultado no fue muy distinto que si se hubiera quemado el CPD, sólo que no se quemó, esta vez se inundó, nadie pensó en la contingencia ante una “inundación provocada” por el cuerpo de bomberos. Actualmente ambas empresas disponen de un DRP.

No nos cansaremos de repetir que el objeto de un Plan de Seguridad y un DRP persiguen fines distintos aunque complementarios, el primero, siguiendo el ejemplo anterior, intentará prevenir que la sala se inunde, considerando los posibles escenarios, entre ellos la situación de un incendio en las plantas superiores, el DRP, sin embargo, deberá establecer las pautas para recuperar el servicio, partiendo de la aceptación de una premisa básica; “hemos perdido los sistemas total o parcialmente como consecuencia de un desastre”.

Resumen- La cadena de desastres, algunos naturales y otros provocados por el hombre que han ocasionado innumerables pérdidas en empresas americanas, subraya la importancia de disponer de un Plan de Recuperación ante Desastres (DRP). Adicionalmente al plan general de emergencia, las organizaciones deben disponer también de un plan para proteger la información crítica ante la pérdida, la destrucción, el robo y otros riesgos. Un DRP efectivo debe proveer de mecanismos de recuperación para los registros vitales, sistemas alternativos de telecomunicaciones, evacuación de personal, una fuente alternativa de provisión de servicios, etc… Un plan de contingencia informático, en cambio, debe contemplar los planes de emergencia, backup, recuperación, comprobación mediante simulaciones y mantenimiento del mismo. Un plan de contingencia adecuado debe ayudar a las empresas a recobrar rápidamente el control y capacidades para procesar la información y restablecer la marcha normal del negocio.

Muchas han sido las lecciones aprendidas a raíz de los primeros atentados con bomba en el World Trade Center y desastres naturales como el huracán Hugo. El factor clave fue sin embargo partir del hecho de que tales circunstancias se podían dar en algún momento y que por tanto debía planificarse de antemano el modo de actuar.
A lo largo de los últimos años las empresas de EEUU han sufrido desastres naturales y provocados por la mano del hombre,  bien conocidos por todos, causando pérdidas que suman billones de dólares. Hace años el sur de California sufrió un gran terremoto, con repeticiones que sacudieron repetidamente sus valles. Donde la naturaleza se queda corta, el hombre llena el vacío. Los ataques terroristas con bomba del World Trade Center, resultaron en pérdidas de vidas humanas y daños valorados en cientos de millones de dólares. Las inundaciones en el medio oeste tuvieron un efecto igualmente devastador. Cuatro años antes el Huracán Andrew asoló el Sur de Florida y partes del Sur de Louisiana, un terremoto causo grandes destrozos en la Bahía de San Francisco, luego fueron el Huracán Hugo en Charleston, Carolina del Sur, devastando sus alrededores.

¿Cual es el grado de preparación de las empresas para estos desastres?. La planificación de contingencias ante desastres en general y la planificación de contingencias informáticas en particular han sido puestas a prueba. Los desastres han demostrado que la capacidad de recuperarse ante ellos es crucial para la supervivencia de una empresa. Deloitte & Touche , por ejemplo, fue capaz de trasladar todas la operaciones desde el World Trade Center a otro centro de oficinas alternativo en la ciudad de Nueva York el mísmo fin de semana tras el atentado con bomba. Lo que ha quedado muy claro es que las empresas deben implantar Planes de Contingencia ante Desastres (DRP) a todos los niveles de la empresa y que trasciende de los aspectos de procesamiento de datos propiamente dichos. La Dirección General debe comprender los principales riesgos para la empresa y las posibles consecuencias de un desastre. Un DRP adecuado identifica las necesidades de todos los departamentos e involucra personal de todas las áreas de la compañía. La responsabilidad para la obtención de un DRP no es únicamente de la Dirección Informática.

Quizás el desastre del World Trade Center, como ningún otro, evidenció de forma clara la necesidad de disponer de un DRP más allá de los sistemas informáticos. La cuestión no era únicamente mantener los sistemas en operación, sino como comunicarse con lo cliente, los empleados y otros que interactúan con una empresa que de repente carece de los medios para ello, o incluso de las propias instalaciones donde se ubica. Una vez carece de las instalaciones. ¿Desde donde se realizarán las transacciones el siguiente día laborable?. ¿Cuál será la fuente de Cash Flow para el alquiler de instalaciones temporales, ordenadores y equipamiento de telefonía?. Muchos negocios deslocalizados han utilizado la telefonía móvil, que permite la comunicación sin cableado físico.

Instalaciones Temporales: Un DRP efectivo debe considerar varias opciones para la reubicación temporal de sus instalaciones:

Primero, una compañía puede disponer de una división o sucursal que esté próxima a la central afectada y que pueda ser utilizada como puente para retomar la actividad. Este, siguiendo el ejemplo anterior, fuel el caso de Deloitte & Touche y los informes del atentado revelan que esta misma solución y ubicación fue la utilizada por varias empresas afectadas en el área de Nueva York por las bombas del World Trade Center. En el caso que esto no sea posible, quizás se pueda llegar a un acuerdo reciproco con otra empresa para compartir las instalaciones por un breve periodo de tiempo.

Existe un nuevo tipo de negocios que ofrece instalaciones de backup externas para operar de forma deslocalizada. El espacio puede ser un almacén en un distrito de bajos alquileres que permita acomodar rápidamente a la dirección y a los empleados de una organización con equipamiento temporal.

Otra opción, que puede resultar excesiva para muchas organizaciones debido a su alto coste, consiste en adquirir y mantener un centro de backup que pueda operar como centro de operaciones.

Alternativas de comunicaciones: Las comunicaciones han de formar parte de un DRP coherente. Habrá la necesidad de comunicar a empleados y clientes la nueva ubicación del negocio. La empresa debe disponer de un listado con todos los empleados incluyendo sus direcciones y teléfonos. Esta lista deberá ser actualizada periódicamente para asegurar la exactitud de la misma. Con esta información los empleados pueden ser debidamente informados de la nueva ubicación y recibir las instrucciones pertinentes.

Una aproximación similar puede utilizarse para advertir a los clientes sobre la nueva ubicación. De todos modos, para determinadas compañías, el tamaño de sus listados de clientes, pueden desaconsejar este método. En tal caso los medios de comunicación pueden ser utilizados para tal fin. La radio y los anuncios en los periódicos deben considerarse como una posibilidad.

Hay otros aspectos que una empresa debe afrontar cuando se recupera de un desastre. Ello incluye necesidades en telecomunicaciones, equipamiento aparte de los ordenadores, y aprovisionamiento de diverso material.

En caso de compartir la nueva ubicación con otra empresa, pueden requerirse líneas telefónicas adicionales. Si se compra o se alquilan nuevas instalaciones, será necesario establecer un servicio telefónico. Equipamiento tal como calculadoras o maquinas de escribir, ciertas reformas y muebles, pueden también ser necesarios.

Análisis de Riesgos: El Director General y los principales directivos de la compañía  deben invertir el tiempo suficiente en identificar las medidas necesarias que permitan asegurar que se esta preparado ante una eventual situación de emergencia. Un completo análisis de riesgos señala el impacto de los principales desastres en el “bottom-line” de una organización. Así pues, los ejecutivos senior son quienes autorizan y se comprometen a largo plazo  para la elaboración de un DRP que trasciende las fronteras organizativas establecidas. Cuando se da ese compromiso, es mucho más probable que la gerencia incluya los costes del DRP como un concepto más a tener en cuenta en los presupuestos generales de la organización sobre una base periódica.

Aspectos a considerar:

Un DRP debería incluir las siguientes consideraciones que frecuentemente no forman parte de un plan de contingencias informático:

  • Nombre un Responsable de Recuperación de Desastres para incorporar el Plan de Recuperación de Desastres Informático dentro del Plan Corporativo.
  • Incorpore dentro del Plan la perdida de comunicaciones por voz. La pérdida de líneas de voz es sinónimo de pérdida de negocio. Piense en las líneas 900, circuitos especiales, redes virtuales y el equipamiento de gestión telefónico. Como ya se ha mencionado un buen uso de los teléfonos móviles puede ser la solución.
  • Las telecomunicaciones son cada vez más dependientes de la electrónica y por tanto del suministro eléctrico. Desarrolle planes de comunicaciones alternativos, tales como comunicar a los trabajadores entre sí mediante el uso de los PCs domésticos.
  • Establezca un plan de recuperación para la información crítica.
  • Establezca guías para la evacuación del personal.
  • No confíe en un único proveedor de electricidad. Piense en doble acometida, etc.
  • Piense en el alojamiento, transporte, comida, para el equipo de recuperación.
  • Defina las guías para la reubicación del papel, datos en formato magnético, etc.
  • Defina la relación con los equipos colaboradores de forma contractual.

Finalmente, la empresa debería evaluar periódicamente el contrato con las aseguradoras para reemplazar activos destruidos, proveer del cash flow necesario, y compensar por la perdida de negocio como consecuencia del tiempo de inactividad. Los dos primeros son esenciales, el último puede ser minimizado o incluso eliminado dependiendo de la vitalidad del plan de recuperación de desastres.

Tiempos de parada por el Huracán Hugo.

Tiempo de Parada     Número          Porcentaje

1-15 días                     20                      87%
16-60 días                     2                        9%
2-4 meses                      1                        4%
Total                            23                    100%

Capacidad de Proceso de Datos tras el Huracán Hugo.

Datos Procesados      Número          Porcentaje

Todos  los datos            5                    22%
Algunos datos                4                    17%
Ningún dato                 14                    61%
Total                            23                  100%

¿Cuántas empresas usan el Plan de Contingencia Informático?

Después del Huracán Hugo, se realizó un estudio a 71 compañías del área de Charleston y Carolina del Sur. Todas las compañías del estudio habían declarado un volumen de ventas superior al millón de dólares. Las empresas fueron seleccionadas sobre un listado de Dun and Bradstreet.

Cada empresa recibió un cuestionario relativo a su plan de contingencia informático y factores relacionados, incluyendo su capacidad para procesar información crítica del sistema de gestión después de Hugo. Un total de 41 cuestionarios utilizables fueron remitidos y posteriormente analizados. Dicho análisis reveló que 18 (44%) de las empresas disponía de un plan de contingencia informática antes del desastre, mientras que 23 empresas (56%) no disponían de él.

Empresas sin Planes de Contingencia

El estudio de las empresas del área de Charleston, no incidía sobre todos los aspectos de un DRP sino que lo hacía específicamente sobre los aspectos informáticos. El DRP informático es uno de los componentes más críticos del DRP y es especialmente relevante para los auditores externos. Las 23 empresas sin planes de contingencia informáticos tuvieron que enfrentarse a un sin fin de problemas tras el Huracán.

Parada informática. Todas las empresas sin el DRP informático, informaron sobre la parada de sus sistemas como resultado del huracán Hugo. Veinte empresas informaron sobre tiempos de parada entre 1 y 15 días, dos empresas estuvieron paradas de 16 a 60 días y una afirmó tener sus sistemas parados durante 2 a 4 meses.

Con los sistemas inoperantes y sin plan de contingencia para recuperar rápidamente las actividades normales de procesamiento de datos, las empresas tuvieron que enfrentarse al problema de cómo recuperar la información crítica de gestión.

Capacidad para procesar información contable. Las 23 empresas sin plan de contingencia tuvieron varios problemas asociados con el tiempo de parada. Muchas empresas fueron incapaces de procesar información crítica de contabilidad mientras tenian los sistemas parados. Sólo 5 empresas fueron capaces de procesar toda su información contable. 4 empresas fueron capaces de procesar parte de la información y 14 de ellas no pudieron procesar nada.

Plan de Contingencia Informático.

Para proteger información vital ante la posible pérdida, destrucción, robo y otras amenazas una empresa debe preparar un completo plan de contingencia informático. Un DRP informático debe tener los siguientes componentes:

-Emergencia
-Back-Up
-Recuperación
-Simulación
-Mantenimiento

El plan de emergencia indica las acciones que deben tomarse inmediatamente tras el desastre. Un importante aspecto de este plan es el diagrama de organización de la contingencia, en el que se muestran los nombres del responsable de la contingencia y los principales coordinadores de la contingencia. Las responsabilidades del gestor de la contingencia y los principales coordinadores debe explicarse de forma clara.

El segundo aspecto crítico de un plan de contingencia es la preparación de un plan de backup. Este documento es un elemento primordial y necesario para la recuperación. La selección de un backup alternativo requiere una cuidadosa preparación. La compañía debe considerar todas las alternativas tecnológicas y de servicios disponibles en el mercado.

El tercer aspecto es la preparación de un plan de recuperación. La empresa debe establecer su capacidad real para recuperar información contable crítica en un periodo de tiempo aceptable. Una parte importante del plan de recuperación es el equipo de recuperación. Los nombres, números de teléfono, asignaciones específicas, necesidades de formación especiales o alternativas, y otra información esencial para cada miembro del equipo debe incluirse en el plan de recuperación. En una sección específica debe indicarse quienes son los responsable de seguir los plazos de ejecución y quien debe decidir si es necesario involucrar a personal temporal externo para completar ciertas tareas del plan. También es importante contemplar la indisponibilidad de parte del personal informático.

Incluso con el plan de contingencia más elaborado, pueden ser necesarios uno o dos días hasta que el centro de backup pueda empezar cualquier tipo de procesamiento de datos. Este retraso requiere que la empresa centre sus esfuerzos en ejecutar esos procesos informatizados de gestión esenciales para la supervivencia de la organización. Como consecuencia, el equipo de recuperación debe establecer prioridades claras sobre que tipo de procesos son los más esenciales. Es necesario por tanto la identificación previa de cuales de los procesos son críticos y cuales son los recursos necesarios para garantizar el funcionamiento de las aplicaciones de gestión, ese tipo de decisiones se realizan de forma más simple teniendo en cuenta los centros de trabajo alternativos, planes de trabajo, instalaciones de backup, necesidades de software, necesidades de personal, seguridad y requerimientos de documentación.

El DRP informático debe ser comprobado de forma periódica para detectar y eliminar problemas. Este es el cuarto componente del plan de contingencia. Muchos problemas potenciales pueden ser eliminados mediante el desarrollo de una estrategia de testeo. La manera más efectiva de comprobar si un DRP funciona correctamente, es la de programar simulaciones de desastres reales. Los resultados obtenidos deben ser cuidadosamente revisados por las personas que realizan la simulación. Los resultados son la clave para identificar posibles defectos en el plan de contingencia.

Finalmente, la empresa debería asegurar procedimientos que permitan mantener la vigencia permanente del DRP. Este es el quinto componente del plan de contingencia, el Plan de Mantenimiento. Cualquier cambio necesario debe ser integrado dentro del plan previamente documentado, basado en los desastres simulados. Debe prepararse un plan de acción, para incorporar e implementar dichos cambios de forma fehaciente para asegurar incluso mayor protección frente a los desastres.

Beneficios de un DRP informático.

El plan de contingencia informático se considera como un control correctivo. No se trata por tanto de prevenir o detectar posibles desastres, sino de limitar las pérdidas ocasionadas por desastres comunes. El primer paso, es por tanto asumir que los desastres informáticos ocurren. La existencia de un plan de contingencia habilita a las empresas para poder recuperar de la forma más rápida posible sus capacidades de procesamiento de información crítica para su supervivencia y poder proveer productos y servicios a sus clientes eficiente y eficazmente. La preparación de dicho plan obliga a las empresas a categorizar sus procesos y las aplicaciones que las soportan en críticas y no críticas. Así pues, es capaz de continuar el procesamiento de información crítica asegurando que la actividad no cesará ni temporal ni permanentemente.

Fuente: INFOGROUP.ES
 
 
 
Visite la página del desarrollador