Reflejo seguro

| 10/12/2001 12:00:00 AM

Reflejo seguro

Lo ocurrido en Estados Unidos ha puesto a pensar a muchas compañías colombianas si realmente están listas para reaccionar ante imprevistos de consideración.

El gigante financiero Morgan Stanley se convirtió en el modelo de previsión para el mundo, porque tras haber sido el mayor inquilino del World Trade Center, fue capaz de reanudar operaciones al día siguiente del atentado que terminó con las Torres Gemelas, gracias a que no solo había realizado copias de respaldo de toda su información (backups), sino porque contaba con un centro de procesamiento alterno a varios kilómetros de distancia listo para entrar a operar en caso de desastre.

Si los atentados perpetrados en Estados Unidos evidenciaron que ningún sitio es seguro, Morgan Stanley demostró que más vale prevenir que lamentar. Una lección que han entendido las personas que tienen la responsabilidad de garantizar la integridad y seguridad de la información de sus compañías, pero que en Colombia todavía no ha tenido el suficiente eco.



De acuerdo con IDC, muchas empresas en el país no están completamente conscientes de las consecuencias de una interrupción en sus negocios y de no tener una adecuada protección contra cualquier tipo de interrupción, sea planeada (actualizaciones o mantenimiento) o no planeada.



Lo alarmante de la tranquilidad empresarial es que, según Angela Hernández, consultor senior de Hewlett Packard, el 88% de las caídas del sistema se atribuyen a eventos no planeados como fallas de hardware, software o errores humanos y, en menor proporción, a eventos como desastres naturales o terrorismo. Y si existiera una cultura clara sobre la prevención, se evitarían o reducirían los costos económicos que generan estas interrupciones no planeadas.



Para algunos analistas, los empresarios aún desconocen las metodologías, costos y soluciones disponibles para los diferentes escenarios de "desastres" y, por eso, no tienen un plan alterno para mitigar las interrupciones.



Las soluciones existentes en el mercado van desde simples copias de seguridad, hasta complejos centros de cómputo redundantes. "Lo mínimo que una compañía debe tener es una copia de toda su información, ya sea en forma física o digital, en un sitio a por lo menos 12 kilómetros de distancia", comenta Jorge Williamson, gerente de Setecsa S.A., firma especializada en el almacenamiento y custodia de medios magnéticos.



Preguntas como "¿cuál es la solución que más se adapta a mis necesidades?, ¿cómo debo reaccionar ante un eventual desastre? y ¿qué áreas son más sensibles en mi organización?" son algunas de las más frecuentes cuando se piensa en el tema. Algunas empresas ofrecen servicios de consultoría en lo que se conoce como planes de contingencia y recuperación de desastres, que siguen estándares y metodologías ampliamente reconocidas, y ayudan a definir las estrategias adecuadas, basadas en la identificación y calificación de los riesgos existentes en cada una de las áreas o procesos críticos de la organización.



Para Hernández, el proceso de identificación de riesgo es importante ya que ayuda a determinar los costos asociados y a mitigar los efectos del riesgo en la estructura operacional de una organización. Durante este proceso se deben identificar los diferentes RTO (Recovery Time Objective), que es el tiempo límite de recuperación de un proceso antes de convertirse en un verdadero problema que fácilmente puede llevar a una compañía a la quiebra. Hace 10 años, muchos procesos tenían un RTO de entre 48 y 72 horas. Hoy, la mayoría de las empresas deben recuperarse dentro de las 12 ó 24 horas después de un desastre. Y en el caso de entidades financieras o sitios de e-commerce, por ejemplo, el RTO tiende a cero.



En Colombia, a diferencia de otros países desarrollados, muy pocas compañías pueden ofrecer Centros Alternos de Proceso para soluciones complejas. Los CAP proveen una infraestructura de cómputo, espacio para ubicación de puestos de trabajo y una red de telecomunicaciones en un lugar remoto y que puede ser usado en caso de una contingencia.



Alberto Roncallo, presidente de Intek, representante de StorageTek en Colombia, precisa que después de lo ocurrido en Estados Unidos, algunas empresas han tomado conciencia de la necesidad de contar con un centro de cómputo remoto para el almacenamiento y recuperación de la información.



Las compañías que son renuentes a invertir grandes sumas de dinero en algo que esperarían nunca necesitar, deberían estar conscientes de que en un país como Colombia, eventos como desastres naturales, huelgas de trabajadores, interrupciones en servicios públicos y atentados terroristas están a la vuelta de la esquina.



El plan de contingencia

Algunos aspectos claves que se deben tener en cuenta en la elaboración de un plan de contingencia que asegure la continuidad de su negocio son:



1. Inicio del proyecto: Establecer la necesidad de un Business Continuity Plan (BCP) y definir un presupuesto límite y un cronograma.



2. Evaluación de riesgos: Identificar los eventos internos y externos que pueden afectar la organización, y los controles necesarios para prevenir o minimizar el efecto de un daño potencial.



3. Análisis del impacto en el negocio: Identificar, cuantificar y calificar los impactos de un desastre y cómo estos pueden afectar la organización. Establecer funciones críticas y las prioridades de recuperación.



4. Desarrollo de las estrategias de continuidad: Determinar e informar la selección de las estrategias para la recuperación del negocio y tecnologías de información dentro del tiempo límite de recuperación (RTO), mientras se mantiene las funciones críticas de la organización.



5. Operaciones y respuesta de emergencia: Procedimientos para responder a situaciones luego de un incidente, incluso estableciendo un centro de operaciones de emergencia para ser usado como centro de control durante una emergencia.



6. Desarrollar e implementar un BCP: Diseñar, desarrollar e implementar un BCP que permita realizar la recuperación dentro de los tiempos límites de recuperación (RTO).



7. Programas de entrenamiento: Preparar un programa para mejorar las habilidades requeridas para desarrollar, implementar, mantener y ejecutar un BCP.



8. Mantenimiento y prueba del BCP: Preparar un plan de simulacro, y documentar y analizar los resultados.
Publicidad

¿Tienes algo que decir? Comenta

Para comentar este artículo usted debe ser un usuario registrado.