La virtualización como estrategia para mitigar virus y errores
(América Latina) Para enfrentar ciertos desastres empresariales, como Calentamiento en centros de datos, terrorismo, ataques DoS, virus o malwares, Vmware destaca a la virtualización como herramienta de recuperación. Desarrollar internamente o adquirir de un proveedor como Software-as-a-Service (SaaS) o Recovery-as-a-Service (RaaS), peude ser de gran ayuda.
“Nuestra creciente dependencia a los datos en la era de la información los ha convertido en el activo más valioso de una compañía. A medida que la infraestructura de TI aumenta su complejidad, la importancia de la recuperación de desastres también crece”, mencionó Fernando Mollón, VP de VMware Latinoamérica.
La compañía menciona seis pasos en su ‘Plan de Recuperación ante Desastres’ para mitigar los daños en la empresa. Asimismo, cada plan debe ser personalizado según las necesidades de las organizaciones, y debe contemplar factores tales como el tipo de negocio o actividad, el nivel de seguridad necesario para los datos y aplicaciones, ubicación, entre otros elementos.
• Definición del plan. Para que un plan de recuperación ante desastres funcione, tiene que involucrar a la gerencia. Ellos son los responsables de su coordinación y deben asegurar su efectividad. Adicionalmente, deben proveer los recursos necesarios para un desarrollo efectivo del plan. Todos los departamentos de la organización participan en la definición del plan.
• Establecimiento de prioridades. A continuación, se debe preparar un análisis de riesgo y crear una lista de posibles desastres naturales o causados por errores humanos, y clasificarlos según sus probabilidades. Una vez terminada la lista, cada departamento debe analizar las posibles consecuencias y el impacto relacionado con cada tipo de desastre. Esto servirá como referencia para identificar lo que se necesita incluir en el plan. Un plan completo debe considerar una pérdida total del centro de datos y eventos de larga duración de más de una semana.
Una vez definidas las necesidades de cada departamento, se les asigna una prioridad. Se establece un orden de recuperación según el grado de importancia. Esto se define como el Recovery Time Objective, Tiempo de Recuperación o RTO.
• Selección de estrategias de recuperación. En esta etapa se determina las alternativas más prácticas para proceder en caso de un desastre. Todos los aspectos de la organización son analizados, incluyendo hardware, software, comunicaciones, archivos, bases de datos, instalaciones, etc. Las alternativas a considerar varían según la función del equipo y pueden incluir duplicación de centros de datos, alquiler de equipos e instalaciones, contratos de almacenamiento y muchas más. Igualmente, se analiza los costos asociados.
• Componentes esenciales. Entre los datos y documentos que se debe proteger se encuentran listas, inventarios, copias de seguridad de software y datos, cualquier otra lista importante de materiales y documentación. La creación previa de plantillas de verificación ayuda a simplificar este proceso.
• Criterios y procedimientos de prueba del plan. La experiencia indica que los planes de recuperación deben ser probados en su totalidad por lo menos una vez al año. La documentación debe especificar los procedimientos y la frecuencia con que se realizan las pruebas. Las razones principales para probar el plan son: verificar la validez y funcionalidad del plan, determinar la compatibilidad de los procedimientos e instalaciones, identificar áreas que necesiten cambios, entrenar a los empleados y demostrar la habilidad de la organización de recuperarse de un desastre.
• Después de las pruebas el plan debe ser actualizado. Se sugiere que la prueba original se realice en horas que minimicen trastornos en las operaciones. Una vez demostrada la funcionalidad del plan, se debe hacer pruebas adicionales donde todos los empleados tengan acceso virtual y remoto a estas posiciones y funciones en el caso de un desastre. “Un plan sin probar es igual que no tener un plan”, advierte Mollón.
• Aprobación final. Una vez puesto a prueba y corregido, la gerencia deberá aprobar el plan. Ellos son los encargados de establecer las pólizas, los procedimientos y responsabilidades en caso de contingencia, y de actualizar y dar el visto al plan anualmente. A la vez, sería recomendable evaluar los planes de contingencia de proveedores externos.
“El plan de recuperación ante desastres debe ser considerado un seguro fundamental. A pesar de que requiere una cantidad considerable de recursos y dedicación, es una herramienta vital para la supervivencia de las organizaciones”, finalizó el directivo de VMware.
