martes, 15 de febrero de 2005

Planes de Continuidad de Negocio. El caso "Torre Windsor III"- Datos a salvo en caso de catástrofe

Aparece publicado hoy en "El Navegante" del diario "El Mundo" el artículo "Datos a salvo en caso de catástrofe"que detalla el servicio que a Deloitte le va a permitir garantizar la continuidad de negocio tras la catástrofe sufrida el pasado sábado.

Cuando se elabora un Plan de Continuidad de Negocio han de determinarse por cada proceso de negocio dos parámetros, el RTO y el RPO.

El RTO (Recovery Time Objetive) establece cómo de rápido las diferentes unidades de negocio necesitar volver a su funcionamiento. Por tanto, determina los requisitos de recuperación. Estos pueden establecerse en periodos de tiempo en función de la criticidad de los procesos y pueden ser cuestión de horas o en aquellos procesos prescindibles, semanas.

El RPO (Recovery Point Objetive) es el más reciente punto en el tiempo en el que los sistemas pueden ser recuperados, reflejando por tanto cuanta es la cantidad de información que una organización puede permitirse perder sin que afecte muy negativamente a la organización. Por tanto, el RPO determina la periodicidad con la que deben salvaguardarse los datos para todos aquellos procesos de negocio.

Cuanto más cortos son el RTO y el RPO, más complejos y caros son los planes de continuidad de negocio.

Estos dos parámetros deciden tambien las diferentes estrategias de recuperación. Para procesos críticos que deben recuperarse en cuestión de horas (RTO pequeño)y que no pueden perder más de 2 horas de información (RPO pequeño) la solución puede ser disponer de un HOT SITE o un CPD paralelo que redunde el Centro de Procesos de Datos principal.

Para procesos poco críticos que pueden recuperarse en cuestión de semanas (RTO grande) y que pueden perder más cantidad de información puesto que las actividades se realizan periodicamente tras ciertos intervalos largos de tiempo puede ser suficiente con la realización de copias de seguridad en unidades de cinta o DVD y una vez al mes sacar de la ubicación principal dichos soportes de backup. Por tanto, cada negocio deberá determinar cuales son sus necesidades a la hora de abordar su estrategia de recuperación en caso de una contingencia grave. Ello se determina tras realizar un Business Impact Analysis (BIA) que determina los procesos críticos de negocio y sus parámetros RTO y RPO asociados.

Evidentemente, un incidente de esta envergadura va a producir problemas graves en los sistemas de información. La cuestión es limitar o al menos gestionar adecuadamente la trascendencia de esos problemas. Las empresas que hayan hecho correctamente las cosas habrán perdido sus tangibles materiales pero no deberían haber comprometido la continuidad de su negocio. Los que no las hayan hecho bien lo habrán perdido todo.
 
;