Continuidad de negocio y Recuperación de desastres (take one)

julio 12, 2016 — por Josep Mª Gris1

main

ConsultoríaOrbalVeeamVirtualizacion

Continuidad de negocio y Recuperación de desastres (take one)

julio 12, 2016 — por Josep Mª Gris1

 

Muchas veces nos encontramos en una reunión donde se barajan varios términos que aunque no se parecen en sí, te das cuenta de que tienen una estrecha
relación.

Es el caso que hoy no ocupa con la Continuidad de Negocio, o en inglés “Business continuity” o su acrónimo BC versus la Recuperación de desastres, en inglés “Disaster Recovery” o DR.

Recuperacion_desatresAnte todo, tendremos que hacernos la pregunta ¿qué tal de importante es para mi negocio un BC o un DR?, entendiendo que hoy por hoy, todo negocio precisa uno de mayor o menor nivel.

Siempre uso la misma analogía y parece que funciona. Si una tienda de americanas tiene la americana que tu quieres y en el momento de ir a pagar no pueden cobrártela, esa venta entra en riesgo, pues puedes encontrar la misma americana en otra tienda o otra de tipo similar, pero también puede pasar que mañana pases de nuevo y la compres. La pregunta es ¿Si en el momento de pagar el pan no pudieras pagarlo, mañana vendrías a comprar el pan de hoy y de mañana?

Este sencillo ejemplo nos deja claro que no todos los negocios tiene el mismo punto “imperativo” de recuperación, ¿de acuerdo?

Lo que tenemos que establecer y acordar con nuestro CEO (que es quien va a pagar los gastos) son dos valores que van a hacer las veces de SLA (Service Level Agreement) o Acuerdo de nivel de servicio, que nos definirán cuales son nuestros objetivos y no otros, siendo estos SLA:

  • RTO, o “Recovery Time Objective” (Objetivo de tiempo de recuperación. Esta SLA lo que nos dice es en resumen “en cuanto tiempo mi empresa tendrá los servicios disponibles para funcionar en caso de desastre o discontinuidad. Esta SLA puede estar compuesta por varias de ellas, siendo una SLA corta para los servicios críticos y una SLA mas holgada para los auxiliares.
  • RPO, o “Recovery Point Objective” (Objetivo de punto de recuperación). Esta SLA nos indica “cuanta información podemos llegar a perder en caso de un desastre. Un ejemplo claro es el caso en el que la empresa tiene un sistema de Backup de 24 horas. Esta empresa tiene asumido un RPO de hasta 24 horas de pérdida de información. Si el sistema se corrompe hoy, la copia es de ayer, por lo que todo lo que se haya hecho hoy se ha perdido irremediablemente.

Una vez vistos los dos SLA que conforman nuestro objetivo vamos a ver los planes que hay para poder paliar esta situación. Lo cierto es que hay varias “escuelas”, consultoras que tienen su propia opinión, vamos a pasar a explicarlas seguidamente.

Las escuelas de negocio entienden que un BC comprende una serie de procesos a nivel empresa para asegurar que los procesos de negocio esenciales continúen en funcionamiento a pesar de haber sufrido la organización algún percance. Este plan (BC) estaría al cargo de un directivo a las órdenes del CEO cuya misión es que no cese el servicio esencial de la compañía (salgan las ordenes y sus facturación de los almacenes o se despache correctamente en los mostradores de un Hotel. En cambio, esta corriente entiende que los DR (plural) son varios y dependen de varios departamentos en la naturaleza de su ámbito departamental, dejando a primera vista del IT DRP. Por otro lado, los colectivos profesionales de IT, establecen otra clase de alcances tanto para el BC como el DRP, ambos, para dentro del CPD. El BC serían todos los procesos, tecnologías, procedimientos y sistemas orientados a dar continuidad a los servicios cruciales de IT, basándose básicamente en la redundancia, replicación y doble ubicuidad. Es una política totalmente proactiva (tiene previsto el fallo y su inmediata sustitución) y puede llegar a tener RTO de O (Usando Fault Tolerant) e incluso un RTO 0 usando SANs activo-activo.

El DRP serían los procesos, tecnologías, procedimientos y sistemas orientado a recuperar un sistema caído, basándose especialmente en la unidad y en la copia de la información. Puede ser complementaria perfectamente de BC, pero en general por sí sola es una política reactiva y puede suponer unos RTO y RPO altos.

Es mejor una que otra? A cada señor su honor, he visto DR muy dignos y muy bien documentados y testados que han sido envidia de muchos profesionales.

Por último, dejadme recordad tiempos en que tenía los auditores internos cada año y siempre acababan con las mismas preguntas. ¿Esta en un funcionamiento?
Y la segunda ¿ha sido probado?. Ningún plan de seguridad puede darse por “compliant” si no ha sido probado en períodos regulares y si no está en vigor.

Espero que os haya interesado el escrito y ya sabéis, cualquier duda o aclaración estoy a vuestra disposición….

Take care,

PD.- Disponeis de la segunda parte sobre en post sobre recuperación de desastres (take two)

Un comentario

  • Juan Cruz

    julio 19, 2016 en 10:23 am

    Interesante post. ¿Porqué no continúas la saga?

    Contestar

Dejar comentario

Tu dirección de correo no será publicada Los campos requeridos están marcados con *

cinco × uno =