DRP/BCP BAJO ISOs

continuidad frente a un desastre DRP/BCP

Selecciona alguna de las siguientes  opciones

LOS CONCEPTOS BÁSICOS

Estar preparados para enfrentar acontecimientos inesperados que podrían paralizar la operación de los sistemas informáticos, implica tener claras las ideas clave que orientarán la reacción frente a un desastre, ideas a partir de las cuales podremos tomar todas las previsiones adecuadas para enfrentar esas circunstancias. Es generalmente aceptado asumir que un razonamiento sobre desastres en la infraestructura informática que detenga su operación, debe focalizarse en dos momentos de la recuperación de la operación normal que, al tenerlos claros, orientarán las decisiones para estructurar un Plan de Recuperación de Desastres y un Plan de Continuidad de Negocio:

  • Punto objetivo de recuperación (Recovery Point Objective, RPO)
  • Tiempo Objetivo de Recuperación (Recovery Time Objective, RTO)

El Punto objetivo de recuperación (Recovery Point Objective, RPO), es la cantidad de datos que una empresa acepta razonablemente perder (puede ser ninguno (0%)  hasta una cantidad manejable de las últimas transacciones) sin que le cause un daño a su funcionalidad y que pueda seguir operando con normalidad después de reinstaurado el Punto Objetivo de Recuperación; se mide en tiempo máximo permitido y una empresa puede aceptar perder 1, 2 o 4 horas de información previa al evento grave, a cambio de un mucho menor costo que tendría que erogar si decide no perder absolutamente ningún dato en el momento del desastre.    Como ejemplo, un fabricante podría decidir perder un par de horas de su última información que podría recuperar posteriormente con otros procesos, pero un banco no puede perder absolutamente ningún dato hasta la última transacción realizada y cada uno de ellos piensa en un Plan de Recuperación de Desastres (DRP) y un Plan de Continuidad de Negocios (BCP) en base a esta premisa.

El lapso máximo permitido de pérdida de datos durante un tiempo de inactividad (downtime) es lo que se denomina “tolerancia” dentro del Plan de Continuidad de Negocio y toda la infraestructura informática y el ambiente operativo debe estar bien diseñado para que se rebase este umbral máximo previamente aceptado, ya sea que se programen los respaldos cada equis horas que como máximo tienen el RPO o mediante una arquitectura de réplica de datos hacia otro sitio vía Intenet desfasada en el RPO (site co-ubicado o en la nube), hasta un esquema de  alta disponibilidad que implica tener uno o más sites espejos que se actualizan al instante de cada transacción, siendo esta última solución la más costosa.

El Tiempo Objetivo de Recuperación (Recovery Time Objective, RTO), es el tiempo que se requiere para volver a tener disponibles los sistemas y servicios con que opera la organización, empezando por los que son críticos y siguiendo con los que no tienen esa relevancia.  Puede pensarse también en que todos los sistemas y servicios estén listos para operar en el menor tiempo posible y para eso se debe tener en una infraestructura alterna co-ubicada donde todo el ambiente de operación de la empresa está ya configurado de manera consistente y los datos actualizados hasta el momento preciso que establece el RPO (que puede ser desde cero, hasta el tiempo de tolerancia).    El RTO es el tiempo necesario para que los usuarios, local o remotamente, reanuden sus actividades con la mayor “normalidad” posible, pero que el resultado sea la continuidad del negocio en ese punto.

La claridad y objetividad con que deben establecerse estos dos conceptos, que deben tomarse después de un Análisis de Riesgos, dará forma final a los Planes de Recuperación de Desastres y de Continuidad de Negocios y a ello con una estimación del costo que implica estar preparado de una u otra forma que delimiten los estrategas del negocio para enfrentar sucesos graves imprevisibles que detienen el funcionamiento de una empresa.

Para lograr el equilibrio razonable entre costos y riesgos y asegurar la continuidad de la operación de una empresa en los tiempos previstos, es muy recomendable ampliar el análisis de riesgos a los que se denomina Análisis de Impacto del Negocio (BIA), donde se establecen los protocolos y las acciones para enfrentar una contingencia grave y se consolida con este detalle el Plan de Continuidad.

En IQIA estamos preparados para realizar los análisis objetivos de riesgos, específicamente el análisis BIA y establecer una arquitectura adecuada a las prioridades de la empresa de acuerdo a estándares de mejores prácticas. 

.

LAS MEJORES PRÁCTICAS PARA DRP/BCP

El Plan de Recuperación ante Desastres (DRP – Disaster Recovery Plan) y el Plan de continuidad del negocio (BCP – Business Continuity Plan) encuentran sus mejores prácticas en los ISO 27031:2011 como “un plan claramente definido y documentado que permite recuperar las capacidades de tecnologías de información y comunicación (Information and Communication Technologies) cuando ocurre una disrupción” y el ISO 22301, que establece como debemos formular un Sistema de Gestión de Continuidad de Negocio (SGCN, por su siglas en inglés: BCP).

El ISO 27031 define una disrupción “como un incidente, ya sea previsible (como por ejemplo un huracán) o no previsible (como por ejemplo un corte general de energía eléctrica, un terremoto o un ataque físico o lógico a la arquitectura de ICT) que pueda causar una interrupción al curso normal de las operaciones de una organización o empresa” (27031:2011, 3.6 Disruption).

El desarrollo de un Plan de Recuperación de Desastres (DRP)es una de las actividades clave dentro de la gestión de la continuidad del negocio (BCP); permitirá reaccionar de manera ordenada y oportuna ante un suceso disruptivo y de acuerdo al ISO 27031 debe contemplar las siguientes fases:

  1. Detección. Se da dentro de un proceso de gestión de eventos y monitoreo que se ha establecido conforme al análisis de riesgos dentro del BIA (Business Impact Analysis, que permite a las empresas estimar el impacto operacional y financiero de interrupciones en su operación normal), proceso dentro del cual se ha valorado una alta probabilidad de un suceso desastroso o, si el incidente simplemente es sorpresivo, debe siempre la organización estar en posibilidad de arrancar un proceso de gestión de incidentes que con toda oportunidad ponga en acción el plan de contingencia.

 

  1. Activación del plan de contingencia y de recuperación de desastres. Una vez que el incidente desastroso está declarado, se activa el DRP, poniendo a disposición de los usuarios en forma remota y/o en oficinas alternas, los sistemas y datos disponibles de acuerdo al RPO (Punto objetivo de recuperación) prestablecido, de acuerdo a los procedimientos debidamente documentados para la continuidad de las labores que realizarán los usuarios una vez transcurrido el RTO (Tiempo Objetivo de Recuperación) que se tenga comprometido; la activación  del DRP da inicio a la siguiente etapa.

 

  1. Recuperación. En la fase de recuperación se activan dos procesos paralelos:
    1. Operación alternativa.  Son las actividades orientadas a restablecer las operaciones críticas o totales de la empresa (soportadas por infraestructura informática y de comunicaciones) en el menor tiempo posible (RPO/RTO).
    2. Resolución del incidente que ocasionó la disrupción. En paralelo a la operación alternativa, la empresa y sus proveedores deberán trabajar en la resolución del incidente que causó la condición de desastre para recuperar la configuración de la infraestructura afectada con el objetivo de volver a la operación normal dentro de las posibilidades reales que establecen las circunstancias.   Con la recuperación completa, sigue operando en forma alternativa, que no debe tener mayores limitaciones frente a la operación normal desde la perspectiva de uso de sistemas y datos.
  1. Retorno a la operación normal. Al lograrse las condiciones para volver a operar con normalidad, se debe arrancar el proceso de “vuelta atrás” (restore/rollback) del plan de operación alternativo. Dependiendo de la estrategia de recuperación definida en el plan, este proceso de “vuelta atrás” podría ser transparente para el cliente o podría tener impacto en la continuidad de sus servicios. En ese sentido, en la fase de retorno a operaciones normales se deben definir estrategias para autorizar, programar y ejecutar este proceso de manera de minimizar el impacto que dichas actividades puedan ocasionar en la continuidad de la prestación de los servicios informáticos y las operaciones sustantivas de la empresa.

IQIA ofrece todos los servicios de consultoría para la implantación de los estándares  ISO 27031:2011 y  el  ISO 22301 en una organización, incluyendo el análisis BIA y el servicio de creación de todos los procesos e infraestructura necesarios para una eficiente recuperación en caso de desastres.    Contamos con personal certificado en estas disciplinas.

Como una alternativa adecuada para generar  infraestructura solvente que reduce significativamente los RPO/RTO, ofrecemos dentro del marco del ISO 27031 (adecuado en cada caso a las condiciones de la empresa de acuerdo al análisis BIA realizado), el servicio de recuperación de desastres DRaaS (Disaster Recovery as a Service), que posibilita replicar máquinas virtuales sobre Internet (co-ubicación ó en la nube) y tener disponibilidad de sistemas y servicios ya configurados para una reacción muy rápida ante el desastre,  con un muy tolerable RPO (que puede llevarse a cero si ese es el requerimiento) en caso de enfrentar un desastre.

Un esquema de DRaaS en la nube con AZURE de Microsoft

Un esquema ejemplificativo de DRaaS con co-ubicación:

SEGURIDAD DE LA INFORMACIÓN

 

De acuerdo al ISO 27001 la seguridad de la información establece estructuras y prácticas que garantizan la preservación de la confidencialidad de los datos, su integridad y disponibilidad, así como la de los sistemas que procesan estos datos.

  • “Confidencialidad: la información no se pone a disposición ni se revela a individuos, entidades o procesos no autorizados.
  • “Integridad: mantenimiento de la exactitud y completitud de la información y sus métodos de proceso.
  • “Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos o procesos autorizados cuando lo requieran.”

Bajo las prácticas del ISO 27001 es posible implantar un SGSI (Sistema de Gestión de Seguridad de la Información), estableciendo con claridad roles y responsabilidades de todos los participantes y un modelo de actuación basado en el ciclo de Deming conocido como PDCA (Plan-Do-Check-Act, o en español,  Planificar-Hacer-Verificar-Actuar) y focalizando el SGSI en dos puntos clave:  Gestión de Riesgos y Mejora Continua.   Para lograr la Gestión de Riesgos eficaz es necesario identificarlos con precisión en el análisis respectivo, donde se evalúan los activos de la red, la seguridad perimetral y del ambiente operativo y se determinan las posibles amenazas que pudieran aprovechar o explotar la vulnerabilidad de estos activos.    El ISO 27001, demanda que se establezcan objetivo claros y verificables de control (todos los aspectos que garanticen la seguridad de la información) y los controles específicos a implantar, mismos controles que se amplían en el estándar de mejores prácticas ISO 27002.

Los principales apartados del estándar ISO 27001 establecen las estructuras y procesos que deben analizarse y documentarse con todo detenimiento para lograr el objetivo:

  1. La Organización y su contexto: establece el conocimiento de la organización, la proyección de sus posibilidades y limitaciones, las partes interesadas (stakeholders) y la determinación del alcance del Sistema de Gestión de Seguridad de la Información (SGSI).
  2. Los Roles y el Liderazgo: la política de seguridad debe conocerla y reconocerla toda la organización y los directamente involucrados deben comprometerse con ella.
  3. La Planificación contempla todos los requisitos de Seguridad de la Información y tiene como condición previa indispensable la determinación de riesgos y oportunidades a los que se referirán los planes que darán soporte y métricas al
  4. El Soporte garantizará el buen funcionamiento del SGSI; se debe contar con los recursos, competencias, comunicación e información documentada en cada proceso accionado por el SGSI
  5. La Operación consiste en implantar, poner en funcionamiento y controlar los procesos de la organización que tienen su resultado en la constante valoración y el tratamiento oportuno de riesgos y amenazas que inciden en la Seguridad de la Información. Todos los procesos deben ser periódicamente revisados y auditados para obtener mayor certidumbre en el cumplimiento de lo paneado; de estas revisiones y del análisis de nuevas amenazas se tienen contempladas prácticas de mejora continua.

En IQIA contamos con personal certificado para la planeación e implantación de Sistemas de Gestión de Seguridad Informática (SGSI), así como para realizar el Análisis y Evaluación de Riesgos de Seguridad de la Información, desde el alto nivel que establece el ISO 27001 hasta el nivel de los dispositivos, el ambiente operativo y las aplicaciones.

DETALLE DE SERVICIO DE CO-UBICACIÓN EN DATACANTER COSID EN TOLUCA DE LERDO, EDO. DE MÉXICO

Servicios Administrados de Hardware y Software en Data Center para Co-Ubicación que soporte el DRP

  • CENTRO DE OPERACIONES Y SERVICIOS IQIA/INTEGRIDATA (COSID): Área con acceso y temperatura controlados, con piso falso, energía regulada, planta de emergencia energía eléctrica, aire acondicionado y atmósfera libre de polvo
  • CON EQUIPOS SUMINISTRADOS POR “EL CLIENTE” o por «IQIA» para su ingreso y ubicación dentro del COSID.
  • SERVICIO DE CO-UBICACIÓN: Consiste en la ubicación de Equipos Suministrados por el «CLIENTE» o  “IQIA” dentro del COSID, para su funcionamiento, ubicado a una distancia de 50 Kms de la Ciudad de México
  • SITE: En un área con acceso controlado, con piso falso, energía regulada a través de UPS de 24 KVA´s y planta de emergencia de 75 KW, aire acondicionado de 48,000 BTU / hr, equivalente a 4 Toneladas y atmósfera libre de polvo.
  • IMPLEMENTACIÓN: por “IQIA” en el Data Center denominado COSID como servicio de Co-ubicación. “IQIA” generará el ambiente operativo específico que requiera “EL CLIENTE” (Windows, Hyper V, WMware, Lunix, UX, Citrix, etc.) para instalar, acceder  y dar mantenimiento a sus aplicativos y datos.
  • EN UN SOLO EVENTO: Al inicio del proceso de implementación “IQIA” llevará los equipos que soportarán todas las aplicaciones y datos al site de cómputo principal del  “EL CLIENTE» ubicado en la Ciudad de México para que con mayor comodidad y eficiencia “EL CLIENTE” pueda instalar en ellos sus aplicativos y la carga inicial de sus datos y hacer una primera prueba de funcionalidad de todos sus sistemas; una vez terminado este evento, los equipos serán trasladados e instalados en el COSID ubicado en Toluca, desde donde podrán ser accesados por “EL CLIENTE” e “IQIA” vía remota.
  • REPLICACIÓN: El esquema de replicación así como la herramienta para la misma será la que seleccione «EL CLIENTE», de acuerdo a su ambiente operativo y experiencia y funcionalidad, ya sea con herramientas del ambiente operativo (Windows, VMware, Linux, etc.), o de terceros, (Corbonite, Veem, etc).
  • CONEXIÓN: Como parte del servicio de Co-ubicación, “EL CLIENTE” dispondrá de Internet dedicado de N Mbps tipo ADSL empresarial simétrico, con 2 direcciones IP Homologadas para servicios de VPN, Replicación u otras aplicaciones que necesite
    • Así mismo la conexión también podrá realizarse a una nube privada o pública, si el esquema fuera replicar al «DRP», servicios en la nube o descargar las replicas de la nube de servicios como AZURE, AMAZON, STRATOSPHERA o nuve privada.
  • RESPALDO: Como parte de los servicios de Co-ubicación, se instalarán en el COSID equipos propiedad de “IQIA”, equipo de respaldo cinta LTO4 a través de librería de cintas o a librería virtual con capacidad de hasta 24 Tipo de respaldo en cinta virtual en el sitio alterno, para generar los respaldos de los servidores desde el sitio alterno y de ahí generar los respaldos a medios físicos (cintas, que proporcionara “EL CLIENTE”), para su control en bóveda dentro del mismo Datacenter, de ( 1 cinta por semana  durante la vigencia del contrato).
  • PUESTOS FÍSICOS: Como parte de los servicios de Co-ubicación se incluye hasta 10 lugares de trabajo Work Group Área compartida que podrán ser utilizados por el personal del “EL CLIENTE” en caso de alguna contingencia que le impida el uso normal de sus oficinas en la Ciudad de México
  • OPERACIÓN DIARIA: Las máquinas (servidores) virtuales que alojan las aplicaciones serán replicadas cuando se notifique una actualización de los aplicativos y cuando “EL CLIENTE” requiera efectuar cualquier revisión sobre sus configuraciones y programas. Las  máquinas virtuales que alojan las aplicaciones estarán apagadas hasta el momento de una contingencia o la realización de una prueba del servicio (de manera programada dos por año previa calendarización.
  • EL SERVIDOR DE BASE DE DATOS: (Oracle, SQL, etc), estará replicando en línea de acuerdo al esquema que se requiera hacer la réplica; tanto el servidor físico y la base de datos estarán normalmente en estado  offline, por razones de licenciamiento de la base de datos.
  • MANOS REMOTAS: El servicio de manos remotas estará disponible en todo momento para apoyar el encendido y apagado de los equipos, de tal manera que todos los servidores queden accesibles mediante una consola remota en el momento en que “EL CLIENTE” ó “IQIA” lo requieran vía telefónica al COSID y se apaguen cuando ya no sea necesario el acceso, lo que se comunicará también telefónicamente; mediante este servicio se hará también el cambio físico de las cintas de respaldo semanalmente en la unidad de respaldo, sumando en total hasta 10 horas de manos remotas en sitio al mes.
  • ENTREGABLES DOCUMENTALES: Durante los cinco primeros días de cada mes, «IQIA» entregará un memorándum de incidentes que contendrá un resumen de las operaciones de respaldo efectuadas en el período mensual inmediato anterior y un resumen de los incidentes observados en los visores de eventos del sistema operativo y la base de datos.   Para la elaboración de estos reportes se extraerá la información pertinente de todos los servidores, razón por lo cual se accederá vía manos remotas por lo menos una vez al mes para tomas está información.

CONTAMOS CON LA CAPACIDAD PARA PODER CO-UBICAR  EN OTROS DATACENTERS, DE ACUERDO A LA NECESIDAD DE «EL CLIENTE», COMO KIO, TRIARA, ETC.

ESQUEMA DE CONECTIVIDAD

ESPACIOS DISPONIBLES PARA TRABAJAR EN SITIO DE DRP /PERSONAL DE TIC

SITE CON AIRE DE PRECISIÓN, PISO FALSO, GABINETES DISPONIBLES 

ÁREA EXCLUSIVA PARA BOBEADA DE CINTAS CLIMATIZADA

CERTIFICADOS DE SEGURIDAD

En IQIA colaboramos bajo un esquema de organización dirigida a la integración de proyectos de TI.

Toda operación de servicio al cliente se establece como un conjunto de procesos, donde establecemos la mayor cantidad de vasos comunicantes entre sus diversas áreas que a su vez permiten una eficaz relación con diversos aliados estratégicos, tanto de bienes como de servicios.

Al surgir un proyecto bajo contrato, tenemos muy claro a quien asociarnos para el logro de buenos resultados.

Contáctanos

13 + 6 =

Ubicación

Esparta 38, Col. Alamos Alcaldia Benito Juarez CDMX

Horario de Oficina

De 9 am. a 6 pm. todos los días

Llámenos

(55) 5530 7824

(55) 55307939

Solicita Cotización