Vídeo: 9 Fotos tomadas segundos antes del desastre (Setembre 2024)
Abans de poder implementar una estratègia de recuperació de desastres per a la vostra infraestructura informàtica, heu de crear un pla oficial. Aquest document crític ha de detallar qualsevol emergència concebible que pugui raonablement causar la vostra organització, identificar les aplicacions i sistemes crítics per a les missions i ser signat per totes les figures clau de la vostra organització, incloses la gestió executiva, els recursos humans i els responsables de la gestió de les instal·lacions. Aquest article us proporcionarà un esquema per crear aquest pla.
Un cop conegut amb les parts interessades i identificats escenaris de desastres potencials, com ara la pèrdua d’aplicacions i dades crítiques que podrien fer que l’organització s’aturi (i una possible desaparició), encara s’ha de documentar el vostre pla. És important tenir un pla concret en un format escrit i concís per distribuir al personal, de manera que ningú no quedi a les fosques a l’hora de saber què fer en cas de desastre. Per orientar-vos en la creació del pla, aquí teniu una llista de comprovació de què ha de contenir un pla efectiu.
La llista de control
• Identifiqueu aplicacions, sistemes i plataformes crítiques a les missions
Heu de tallar la carn del greix quan identifiqueu quins components d’una infraestructura han d’estar disponibles en el moment d’un desastre. Això posa de manifest la importància d’una avaluació d’inventaris actualitzada de maquinari i programari. Conegui qualsevol programari o maquinari que funcioni a la infraestructura, inclòs qualsevol cosa virtualitzada. Es paga no només invertir en una bona solució de gestió d’actius, sinó també mantenir un fitxer de registre de tots els programes i actualitzacions. D’aquesta manera, no només se sap quin és l’inventari informàtic complet en cas de pèrdua per part d’un desastre, sinó que es pot recopilar una llista i comprovar quins sistemes han de romandre en funcionament durant una crisi i que podreu viure sense ser temporalment.
Delibera sobre el que es pot sacrificar en un desastre. Per exemple, una base de dades que s’utilitza per fer el seguiment de les vendes de vendes pot no ser crucial en un desastre, però, per a una instal·lació sanitària, hi ha una base de dades que enumera tots els pacients actuals. És possible que sigui necessari el correu electrònic per comunicar-se amb els procediments i les actualitzacions de l'estat del personal, especialment si els empleats es veuen obligats a romandre fora del lloc. Quins components són importants depèn de la naturalesa del negoci, però, siguin quins siguin, haurien d’enumerar-se i incloure’ls al pla.
• Avaluació i implementació
Aquí és on cal començar a pensar en la implementació. A quines dades es pot accedir fora del lloc sense comprometre la seguretat ni el compliment corporatiu? Si una organització no ha canviat cap procés empresarial a un model de computació en núvol, pot ser que sigui un bon moment per plantejar-ho. Si bé les aplicacions de la línia de negoci poden requerir més planificació, o poden ser complexes per moure’s fàcilment al núvol, el correu electrònic i l’emmagatzematge són bons candidats a passar al núvol.
Correu i emmagatzematge basats al núvol
Hi ha disponibles serveis de correu electrònic basats en núvol que no només poden reflectir els sistemes de correu electrònic existents, sinó que també poden complir les normes HIPAA i altres regulacions de correu electrònic, quan sigui necessari. Molts d’aquests proveïdors de correu electrònic també poden implementar la governança de dades sobre comunicacions de correu electrònic per a una empresa com ara un despatx d’advocats, que pot ser que hagi de marcar certes comunicacions com a confidencials o altament sensibles o que pugui necessitar que només alguns membres del personal rebin determinades comunicacions per correu electrònic.
L’emmagatzematge al núvol és una tendència que creix ràpidament amb els consumidors, i les empreses també poden aprofitar l’avantatge de l’emmagatzematge en núvol com a part d’un pla de desastres. Un gran nombre d’organitzacions encara tenen desplegades solucions de còpia de seguretat local, amb dades recolzades a cintes o suports RDX. Les dades de còpia de seguretat sovint s’envien fora del lloc i es giren regularment, de manera que es pot disposar d’una còpia recent de les dades d’una organització en cas de fallades del sistema o un desastre.
Tanmateix, el fet de replicar aquestes dades a un proveïdor d’emmagatzematge en núvol pot estalviar temps que d’una altra manera es passaria per recuperar aquestes dades d’una ubicació física fora del lloc i, després, restaurar-la manualment als servidors. Amb una solució en núvol, es poden accedir a dades crítiques gairebé en temps real, si els empleats tenen connectivitat a Internet. També hi ha proveïdors d’emmagatzematge en núvol que poden assegurar-se que les dades emmagatzemades s’ajusten als compliments empresarials com Sarbanes-Oxley (SOX).
Aplicacions, servidors i virtualització
Quan es descriu un pla de recuperació de desastres, cal pensar no només en les dades que es mouen al núvol, sinó també en les aplicacions que es puguin moure. Amb proveïdors com Amazon, Rackspace i Google, una empresa pot transitar aplicacions i bases de dades al núvol de manera que l’accés pugui estar disponible en cas d’emergència.
Hi ha casos en què una empresa no pugui fer una còpia de seguretat de les dades completament al núvol o, com a mínim, només pot implementar una solució híbrida, amb algunes dades de seguretat i altres dades locals. Les raons poden incloure problemes de seguretat o prohibicions de costos. Per crear un pla de PD, és un bon moment per determinar com es pot agilitzar la infraestructura.
En cas d'emergència, com més programari es desplegui amb més maquinari, més probable és que es produeixin danys i temps generalitzats en la restauració dels sistemes. La virtualització pot ser una solució potent per a aquest tipus de problemes. Consolidar servidors físics a màquines virtuals significa que la TI pot crear instantànies regulars d’instàncies de servidor i restaurar fàcilment aquests servidors després d’un desastre. Amb les solucions de virtualització que ofereixen funcions com ara la migració en directe, no ha de ser un llarg període d’aturada per restaurar els sistemes d’infraestructura crítics.
Per a les organitzacions que encara necessiten albergar la majoria de sistemes i dades a la premissa, també es pot planificar un centre de dades mòbil mòbil en un lloc determinat per estar segur en cas d'emergència. Els servidors de còpia de seguretat que poden replicar dades d’un lloc principal a un lloc de còpia de seguretat poden proporcionar, almenys, una manera de mantenir disponibles els sistemes crítics.
Potència
A més de les dades i servidors, hi ha consideracions més bàsiques per afrontar la preparació per a la recuperació de desastres. Un dels escenaris més habituals de desastres és una interrupció elèctrica: un desastre al qual totes les empreses haurien de tenir previst, ja que, en general, la infraestructura elèctrica del país no ha seguit el ritme del creixement. Per descomptat, tot el maquinari crític hauria de funcionar amb fonts d’alimentació il·limitades (UPS). Les solucions UPS poden proporcionar un període de temps de funcionament en cas de fallida d’energia suficientment llarga per aconseguir, almenys, que una organització canviï a procediments alternatius de desastres. Les revisions i proves periòdiques dels dispositius UPS són fonamentals.
Per a tensions d’energia més llargues, algunes organitzacions també poden necessitar treballar amb el departament d’instal·lacions per establir fonts d’alimentació alternativa com ara generadors dedicats a equips d’informàtica.
Telecomunicacions i accés remot
Els proveïdors d'Internet i els operadors de telefonia mòbil solen patir un temps d'inactivitat prolongat en desastres. Si bé no es pot fer gaire negoci en cas de desastre greu que pugui afectar les telecomunicacions a les zones immediates i circumdants, val la pena tenir connexions a Internet redundants de diferents ISP. D’aquesta manera, si la xarxa d’un ISP està a la baixa, pot ser que un segon ISP encara estigui en línia. Un bon pla de recuperació de desastres documenta com la infraestructura fallarà d'una connexió a Internet a una segona connexió redundant. El pla ha de perfilar les proves periòdiques d'aquesta connexió de migració.
El pla també ha de tenir en compte com els usuaris finals accediran als sistemes en cas d’emergència. Molts usuaris finals disposen de dispositius mòbils personals emesos per l'empresa o que es poden configurar per accedir de forma remota a la xarxa corporativa. La majoria d’organitzacions ja tenen algun tipus de solució de xarxa privada virtual (VPN) al seu lloc, que permet l’entrada remota a la xarxa empresarial. El sistema VPN realment funciona, i els empleats no tècnics estan preparats adequadament per utilitzar-lo sense suport informàtic intensiu, que pot no estar disponible durant un desastre? Pot la VPN o la solució d'accés remot suportar un desastre? També s’ha de tenir en compte una còpia de seguretat de la VPN. Pot ser un servidor VPN en un altre lloc o un accés a dades i sistemes mitjançant un proveïdor de núvols en lloc del sistema VPN habitual.
Algunes organitzacions poden tenir una solució d'accés remot que només concedirà un dispositiu remot a la xarxa corporativa després d'escanejar certs compliments requerits. Per exemple, es pot denegar l'accés a la xarxa corporativa a un dispositiu client Windows que no disposi d'un service pack o a un fitxer de definició antivirus necessari. No voleu sorpreses com aquesta en cas d'emergència. Com a part de la preparació per a desastres, detalla com i quins dispositius client accediran a la xarxa en cas d'emergència. Comproveu periòdicament aquells dispositius per assegurar-vos que poden accedir a la xarxa. És aquí on una organització pot voler considerar una solució de gestió de dispositius mòbils (MDM) que permeti la gestió centralitzada dels dispositius mòbils que accedeixen a la xarxa corporativa.
És possible que l’empresa hagi emès smartphones als empleats. Si l'empresa utilitza un transportista particular per a telèfons per a empleats, considereu que els telèfons estiguin disponibles per part d'un altre operador per distribuir als empleats clau en cas d'emergència. Si la xarxa d'un operador està en un desastre, pot ser que n'hi hagi. No confieu en un mateix transportista per a Internet i telecomunicacions en un desastre.
• Document
Després que s'hagi documentat un pla de recuperació de desastres, assegureu-vos que tots els executius, la direcció i qualsevol altre personal implicat en la presa de decisions sobre la preparació de desastres hagin revisat i signat el document. Això fa que el document sigui oficial de la política i s’hauria d’incorporar com a part de les polítiques de l’organització.
El pla de recuperació de desastres és un document viu que s’ha d’actualitzar regularment. Si els procediments de prova formen part d'aquest document, la data i els resultats de les proves haurien de ser documentats i associats al pla de recuperació de desastres.
En la propera part d'aquesta sèrie, analitzarem l'execució de plans de recuperació de desastres i solucions que us poden ajudar a proporcionar la vostra estratègia de recuperació de desastres.
