10 claves para una adecuada recuperación ante desastres
En la gestión de la seguridad hay un capítulo de especial importancia. Este capítulo es el que habla de recuperación ante desastres, un concepto que tiene que ir asociado de una manera biyectiva a otro concepto de igual interés en el gobierno de la seguridad. La continuidad de los negocios.
Buscando un modelo ideal
Estos parámetros toman cada vez más cuerpo. Recientemente hemos visto cómo se ha propuesto un modelo de normativa ISO cuya denominación será ISO/IEC 27006 “Guidelines for information and communications technology disaster recovery services”, específicamente orientada a la continuidad y a la recuperación, proporcionando guías específicas para los servicios de recuperación ante desastres, bien sean propios o externos. Esto no hace más que refrendar la teoría de que los modelos de gestión están cada vez más orientados a la seguridad de la información, como único mecanismo garante de que los procesos que reposan en las tecnologías de la información posean el tratamiento óptimo, en aras del beneficio conjunto de todo el mapa de procesos de la organización. Se prevé que ISO/IEC 27006 aparezca en torno a noviembre de 2007, y por lo que se puede ver en el borrador, se percibe una fuerte impregnación de la norma SS507 – Singapore Standards for Business Continuity/Disaster Recovery (BC/DR) Service Providers.
En Hispasec hemos hablado anteriormente sobre planes de recuperación y continuidad. No vamos a extendernos más en las definiciones teóricas que ya propusimos en nuestros boletines números 2278 y 2540, enlazados al pie. El objetivo de este boletín es incidir en medidas prácticas asociadas a los conceptos de recuperación y continuidad. Para ello hemos preparado un decálogo de acciones que pueden ayudarle a plantear el problema de una manera más cómoda y accesible. Son sólo algunas acciones básicas, que deben siempre complementarse con un plan específico diseñado y gestionado por expertos para cada caso, y están basadas en los artículos propuestos en el capítulo de “más información”.
El decálogo
1.- Probar las copias de seguridad. Por obvio que resulte, las copias sólo tienen utilidad cuando pueden ser restauradas. Es recomendable que las organizaciones dediquen al menos un equipo a modo de “sandbox” o caja de arena de pruebas específicas de verificación de copias de respaldo, y que eventualmente, con una periodicidad programada, se verifiquen estas copias.
2. Escoja su software de backup con criterio. Elegir un sistema de copia y restauración puede requerir la intervención de un experto, sobre todo en entornos heterogéneos. Piense en la disponibilidad y en los tiempos cortos de recuperación como un activo rentable y extremadamente interesante. No tenga miedo a invertir en estos conceptos, bien sea en licencias, bien sea en servicios o en ambos.
3. Con una periodicidad adecuada, por ejemplo, semanalmente, desplace las copias de seguridad a sitios externos a la organización, de modo que prevenga así incidentes localizados, como robos, incendios, inundaciones, etc. Dentro de la organización opte por armarios ignífugos para la conservación como medida mínima de protección de las copias. Dejarlas en lo alto del servidor o de una mesa no es la elección más adecuada en ninguno de los casos.
4. Una medida interesante para prevenir la indisponibilidad y la gran mayoría de los problemas puede ser el aislamiento de las máquinas. Disponer de cuartos específicos bajo llave donde ubicar los sistemas reduce mucho el riesgo de daños accidentales o intencionados. Las máquinas deben estar preferentemente en entornos climatizados y controlados, y a ser posible, en armarios tipo rack o equivalentes homologados, con un grado de protección adecuado en lo relativo a incendios, humedades y otros parámetros de catástrofe similares.
5. Escoger la ubicación de la sala de máquinas puede ser tan sencillo como contemplar que no haya en las cercanías redes de fontanería ni desagüe, y que las tomas eléctricas existentes sean seguras y cercanas a la acometida, por si fuera necesario ampliar o sustituir el abastecimiento. Otro factor de interés, siempre que sea posible, es la proximidad a los sistemas contra incendios. La proximidad a sistemas de evacuación de emergencia, climatización y ventilación son también interesantes para ubicar la sala de máquinas. Procure por último que la sala sea fácilmente accesible por métodos de transporte, como carretillas y elevadores, y que el/los montacargas, en caso de altura, no estén lejos
6. A la hora de mesurar potenciales riesgos, no escatime ninguno. Por desgracia en su oficina puede pasar de todo. Puede incendiarse, inundarse o puede ser forzada por vándalos. Evite pensar que incidentes como los acontecidos en el edificio Windsor o los sufridos por multitud de ISPs en Nueva Orleans (véase el caso Directnic) con el huracán Katrina son imposibles en su ubicación. Cualquier daño que pueda imaginar por cualquier causa imaginable es una fuente de riesgo ante la recuperación. Obviamente, corresponde al gestor de seguridad balancear probabilidades y asignar pesos y probabilidades. Es obvio que el impacto de un avión en un edificio de oficinas no es igual de probable (por fortuna) que la rotura de una cañería, ni tampoco es probable que si ubica un ISP en un lugar con fuerte desertización acabe con problemas de humedades, pero de entrada no descarte absolutamente nada.
7. Comunique las acciones a tomar para todos los posibles incidentes. No sirve de nada tener los planes guardados en un cajón, y no sirve de nada un plan que no sea conocido por todos los estamentos implicados. La recuperación ante incidentes es un trabajo en equipo y es absolutamente necesario que todos los elementos de la cadena estén perfectamente documentados sobre las tareas a realizar en cada caso.
8. La recuperación requiere obligatoriamente que el personal implicado en todas y cada una de las fases conozca todas las metodologías y tecnologías disponibles para tales efectos. Es un campo donde la formación continua de los asalariados es una garantía de éxito. Muchas veces el material de estudio de este tipo de sistemas está en lengua foránea. Debe tenerse la mínima formación por parte de todos para comprender estos términos foráneos, en lengua inglesa principalmente, por ejemplo, para interpretar correctamente referencias en un memorando o email sobre BC/DR para hacer alusión al Business Continuity/Disaster Recovery (Continuidad del negocio/Recuperación ante el desastre).
9. Si sus recursos se lo permiten, ejecute de vez en cuando simulacros. Los simulacros que aportan información útil son aquellos en los que no se avisa, y donde es factible obtener información sobre el proceso de recuperación. Tirar del cable de un servidor en producción puede ser una prueba muy directa para verificar si la rueda de recuperación está bien engrasada.
10. Tome todos los datos anteriores, y elabore una posible secuencia temporal. Pongamos un ejemplo: Si se rompe una tubería y se moja un servidor, puede que la placa madre se queme. Tanto si se quema como si aparentemente no hay daños, hay que avisar a cierta persona, cuyo teléfono de urgencia es A, cuya responsabilidad es el mantenimiento de las máquinas. En caso de quemado, se debe localizar en el almacén una placa equivalente, cuyo modelo es B. Si no hay placas en el almacén, debemos llamar al proveedor C, el cual está informado de nuestro inventario, para proceder a su pronta adquisición. Es preciso igualmente avisar al servicio de mantenimiento del edificio, localizables 24 horas en el teléfono D y dar parte de la avería. Por último, el equipo E levantará el equipo que ha quedado inutilizado y hará las verificaciones oportunas que certifiquen que la recuperación es un éxito. La incidencia la catalogaremos completa y la almacenaremos en nuestro catálogo de incidencias, para reutilizaciones futuras. Con todos estos datos, el gestor de seguridad analizará lo sucedido y buscará maneras de optimizar el procedimiento de recuperación, informando igualmente de las responsabilidades que deriven del incidente a la alta dirección.
Plan de recuperación
Una vez haya unido todas las posibles fuentes de problemas y sus soluciones, habrá elaborado un plan de recuperación. Priorice las partes del negocio sujetas a potencial indisponibilidad o ruptura para ordenarlas en importancia, ya que debe recuperarse primero lo que más rentable o vital sea para la organización. Esto es lo que hace indispensable que el plan emane de la alta dirección, porque es la alta dirección la que sabe qué es más necesario para mantener la continuidad y qué componentes del esquema tienen más peso en la rentabilidad global de la empresa. La alta dirección es la única cualificada para establecer este tipo de prioridades, con lo que estos planes deben surgir de los altos estratos para ser diseminados posteriormente por la organización, al igual que se hace con cualquier sistema de gestión.
Un plan de recuperación es, a fin de cuentas, un instrumento para ofrecer respuestas metódicas, congruentes y frías en situaciones anárquicas, incongruentes y muy calientes, situaciones en las que a veces la prioridad es salvar la vida y preocuparse después de qué ha pasado con los racks, los monitores y los ordenadores. El ser humano, humano es, y si tenemos la mala fortuna de estar envueltos en humo, o si tenemos que salir de la oficina con el agua por las rodillas a causa de una inundación, lo menos probable es que estemos al 100% para poder tomar las decisiones adecuadas para la salvaguarda de la continuidad.
Para eso está el plan de recuperación.