za de las empresas para seguir operando tingencia, pues el centro de cómputo
La norma BS 25999
y recuperarse ante desgracias. principal estaba operando. En caso de
Posiblemente recuerde el estándar bri-
un sismo, por ejemplo, la gente debe
tánico BS 7799, el cual buscaba con-
“Hot site”, “warm site” y “cold site” moverse hacia el sitio alterno (que posi-
centrar las mejores prácticas para la
Como se mencionó anteriormente, ac- blemente esté lejos de la ubicación prin-
protección de la información en cual-
tualmente muchas organizaciones cuen- cipal por obvias razones). Durante la
quier organización. La norma indicaba
tan con planes de contingencia para epidemia, ¡la gente ni siquiera podía salir
qué áreas (dominios) debían atenderse
seguir operando en caso de que ocurra de casa y menos viajar grandes distan-
y cómo darle seguimiento a través de
un terremoto, inundación, huracán, cias! Al personal se le solicitaba trabajar
un sistema de gestión. Cabe señalar
etc. y su centro de cómputo no pueda de forma remota en casa, ¿estábamos
que este “sistema” no era un programa
trabajar con normalidad en sus instala- preparados para maniobrar de esa for-
de cómputo, sino un grupo interno de
ciones. Para ello, cuentan con centros ma? Las organizaciones que sí lo esta-
personas conformado para darle se-
de cómputo alternos o subcontratan a ban podían seguir operando; las que no,
guimiento a esas buenas prácticas. Al
alguna empresa que brinde este servi- podían haber ingresado a una situación
paso del tiempo, este estándar britá-
cio. Así pues, se puede tener un centro muy grave en caso de que la emergencia
nico dio pié a la familia de estándares
de cómputo “caliente” (hot site), que está se hubiera prolongado.
“ISO 27000”, los cuales actualmente se
replicando todas las transacciones y en Este caso de la vida real nos puso en
utilizan de forma extensiva en todo el
caso de requerir el centro alterno, éste claro que debíamos repensar nuestro es-
mundo.
comienza a operar instantáneamente; un quema de contingencia y cuestionarnos
Bueno, pues en el área de contin-
centro de cómputo “tibio” (warm site), el si la forma de responder a ciertos even-
gencia se creó el estándar británico
cual tiene casi todas las facilidades para tos es la correcta.
BS 25999. Esta norma consta de dos
utilizarse en caso de emergencia pero se
partes: la primera estipula las mejoras
requerirá mover más gente a ese sitio, así Cuando llueve sobre mojado
prácticas a seguir por cualquier em-
como tal vez subir el último respaldo de Si la aparición de la epidemia A H1N1
presa para promover la continuidad del
información; o finalmente, un centro de ya representaba un evento dif ícil de
negocio; la segunda parte proporciona
cómputo “frío” (cold site), el cual es un enfrentar, ahora imagine que duran-
los requisitos para formar un sistema
sitio designado para operar en caso de te dicha epidemia ocurre un sismo
de gestión de continuidad del negocio
contingencia pero que carecerá de al- de gran magnitud. Las coincidencias
(SGCN).
gunas facilidades como computadoras, ocurren y la naturaleza nos lo hizo ver
Como cualquier norma de este esti-
personal, etc, por lo que requerirá de más el pasado 22 de mayo de 2009, cuando
lo, sirve para indicar el “qué” debe aten-
tiempo para comenzar a operar. en medio de las medidas implantadas
derse, dejando en manos de la organi-
para afrontar la epidemia, también
zación implantar el “cómo”. No será
Relación costo-tiempo de los centros de ocurrió un sismo de 5.9 grados en la
una panacea para afrontar calamidades
cómputo alternos durante un plan de escala Richter, con epicentro en la ciu-
pero seguramente podrá ayudarlo a
contingencia dad de Puebla. Cada situación llevaba
formalizar algunos procesos indispen-
Esto nos lleva a una simple relación a un plan de contingencia, es más, las
sables para implantar un buen plan de
“costo-tiempo”: entre más rápido se re- medidas contra los sismos eran más
contingencia.
quiera volver a operar, más alto será el conocidas, pero, ¿estábamos siendo
costo de la solución de contingencia; el congruentes? Por ejemplo, una medi-
Conclusiones
inverso también será cierto: entre me- da común durante un sismo es eva-
Como bien me dijo la entrevistadora al
nos recursos (gente, tiempo y dinero) cuar a todo el personal de un edificio
final de mi sesión de resultados: en mi
le dediquen al plan de contingencia, y agruparlos en algún sitio común. Así
caso, el pensar en que todo podía salir
más tiempo pasará para volver a ope- se realizó en muchas instalaciones y
mal era simplemente una “deformación
rar. ¿Qué tanto es tantito? Eso lo decide podíamos ver cómo las personas des-
profesional”. Los planes de contingencia
cada organización. Puede ser que recu- alojaban eficientemente sus lugares de
forman parte indispensable de mi ejerci-
perarse en microsegundos sea prohibiti- trabajo. Sin embargo, una de las me-
cio profesional. Sé que las cosas pueden
vo económicamente o dejar pasar varios didas durante la epidemia era exacta-
salir bien y entiendo que se hace todo
días represente la muerte de la empresa. mente no concentrar al personal. ¡Qué
porque así sea, pero es mi responsabili-
Así pues, la próxima vez que le pregunte contradicción!
dad plantear escenarios donde no es así.
a su jefe “¿en cuánto tiempo desea que Por otra parte, también se satura-
Así pues, revise su análisis de riegos
volvamos a operar?”, asegúrese de que ron las líneas de comunicación, impi-
y actualice su plan de contingencia Re-
entienda la siguiente gráfica. diendo que algunos trabajadores re-
cuerde que, al fin y al cabo, todos sabe-
motos mantuvieran la comunicación
mos que Murphy tenía razón. n
Nuevas Amenazas con sus centros de trabajo, lo que oca-
Las amenazas tradicionales nos han sionó que tampoco pudieran operar.
llevado a implantar esquemas de con- Este evento también nos deja en
tingencia tradicionales. Pero, ¿qué claro que la suma de calamidades pue-
* Acerca del autor
ocurre cuando enfrentamos una nueva de ocurrir, aunque su probabilidad
- Arturo García Hernández, (DSE,
amenaza? ¿Servirán los esquemas de sea baja, y por lo tanto, esta entrada
CISM), Subgerente de Desarrollo Tec-
contingencia tradicionales? Póngase a también debe estar contemplada en la
nológico de Seguridad en Banco de
pensar en la reciente epidemia del virus agenda de riesgos.
México. Si desea conocer más acerca
A H1N1. Un esquema tradicional de
del autor, consulte su CV en:
un centro de cómputo alterno distaba
www.seguridadenamerica.com.mx/co-
mucho en ser la solución para esa con- laborador
SEGURIDAD EN LA INFORMACIÓN 47
Page 1 |
Page 2 |
Page 3 |
Page 4 |
Page 5 |
Page 6 |
Page 7 |
Page 8 |
Page 9 |
Page 10 |
Page 11 |
Page 12 |
Page 13 |
Page 14 |
Page 15 |
Page 16 |
Page 17 |
Page 18 |
Page 19 |
Page 20 |
Page 21 |
Page 22 |
Page 23 |
Page 24 |
Page 25 |
Page 26 |
Page 27 |
Page 28 |
Page 29 |
Page 30 |
Page 31 |
Page 32 |
Page 33 |
Page 34 |
Page 35 |
Page 36 |
Page 37 |
Page 38 |
Page 39 |
Page 40 |
Page 41 |
Page 42 |
Page 43 |
Page 44 |
Page 45 |
Page 46 |
Page 47 |
Page 48 |
Page 49 |
Page 50 |
Page 51 |
Page 52 |
Page 53 |
Page 54 |
Page 55 |
Page 56 |
Page 57 |
Page 58 |
Page 59 |
Page 60 |
Page 61 |
Page 62 |
Page 63 |
Page 64 |
Page 65 |
Page 66 |
Page 67 |
Page 68 |
Page 69 |
Page 70 |
Page 71 |
Page 72 |
Page 73 |
Page 74 |
Page 75 |
Page 76 |
Page 77 |
Page 78 |
Page 79 |
Page 80 |
Page 81 |
Page 82 |
Page 83 |
Page 84 |
Page 85 |
Page 86 |
Page 87 |
Page 88 |
Page 89 |
Page 90 |
Page 91 |
Page 92 |
Page 93 |
Page 94 |
Page 95 |
Page 96 |
Page 97 |
Page 98 |
Page 99 |
Page 100 |
Page 101 |
Page 102 |
Page 103 |
Page 104 |
Page 105 |
Page 106 |
Page 107 |
Page 108 |
Page 109 |
Page 110 |
Page 111 |
Page 112 |
Page 113 |
Page 114 |
Page 115 |
Page 116 |
Page 117 |
Page 118 |
Page 119 |
Page 120 |
Page 121 |
Page 122 |
Page 123 |
Page 124