Como vimos en los artículos anteriores, la sustentación de un plan de recuperación de desastres (DRP) viene de la mano del uso de herramientas que proponen procesos y etapas del armado como ITIL v3.
Hemos revisado los primeros 2 puntos de las 5 guías pensando en los servicios que TI ofrece a la organización:
1. Estrategia del servicio
2. Diseño del servicio
3. Transición del servicio
4. Operación del servicio
5. Mejora continua del servicio
Con el estudio de estas guías obtendremos una mejor comprensión del área de TI y el negocio, y fundamentalmente comenzaremos a pensar en función de procesos y servicios.
Es momento ahora de abordar algunos elementos de la “transición del servicio”, “operación del servicio” y la “mejora continua del servicio”.
Aquí es donde vemos la necesidad clara de contar con herramientas para automatizar la recuperación de diversos elementos, como aplicaciones, bases de datos o sistemas completos.
Durante la planificación de la transición del servicio se establece cómo se desea que se recuperen las aplicaciones tras una caída, y también se deben preparar los planes de “rollback” (reversión) junto con sus respectivas pruebas.
Es común contar con soluciones de backup que apoyen el resguardo de la información, pero en esta etapa es recomendable analizar herramientas de replicación y alta disponibilidad que puedan trabajar en distintas capas de los procesos a proteger. La transición del servicio no debe contemplar solamente las fallas completas de los sistemas, sino también la respuesta ante fallas particulares de distintos elementos de estos sistemas. Por ese motivo es correcto pensar que cuando una organización se encuentra ante un proceso crítico, con un MTD (Maximun Tolerable Downtime) igual a 0, se deben realizar tareas de replicación y alta disponibilidad del mismo. De ser posible es necesario contar con un sitio de contingencia que permita ejecutar este proceso frente a una caída del sitio principal.
Analizando un ejemplo
Veamos el siguiente ejemplo: La organización “A” en el año 2010 adquiere dos dispositivos de almacenamiento del fabricante “X” para que trabajen en redundancia replicando datos entre los sitios remotos. En el año 2012 el fabricante “X” descontinúa estos equipos y cambia su estrategia de negocio a otra línea por lo que deja de desarrollar estos equipos. En el año 2013 la organización “A” sufre un desastre en su sitio principal por lo que comienza a operar en el sitio de contingencia.
Hasta aquí podemos pensar que el plan de recuperación ha sido un éxito, sin embargo, un plan de recuperación debe contemplar la transición al funcionamiento normal de las operaciones. Esto quiere decir, recuperar el sitio principal.
En el ejemplo la organización “A” adquiere un hardware de un fabricante “X”, el cual ahora ya no cuenta con equipos del mismo modelo. Aquí vemos el olvido más grande que suele existir en este tipo de planes: manejo de proveedores, o sea flexibilidad. En el ejemplo, la organización “A” quedó comprometida al trabajo con un único proveedor, no tiene flexibilidad y éste es un error grave en la planificación de un plan de recuperación de desastres.
Cuando esté pensando en incorporar una solución de replicación debe contemplar que pueda contar con la capacidad de trabajar con múltiples proveedores de hardware, software, etc.
A considerar
La implementación de una solución de replicación y alta disponibilidad deberá respetar los siguientes ítems:
1)Integración con la aplicación a replicar: Optar por soluciones que trabajen a nivel de aplicación permite manejar mejores estándares de seguridad y optimizar el tiempo y la velocidad de replicación.
2) Flexibilidad ante el cambio: Todas las soluciones deben permitir realizar modificaciones de manera de poder adaptarse a los cambios de la infraestructura y del negocio. Siempre se debe tomar en cuenta la gestión centralizada y de la solución. Por este motivo no es recomendable contar con múltiples herramientas de replicación y alta disponibilidad según la aplicación o hardware. Tampoco podemos ajustarnos a soluciones de nicho. Tenga una mirada integral, piense en el futuro, analice su historia y las tendencias. Y, por sobre todo, contemple la mayor cantidad de situaciones inesperadas.
3) Gestión del conocimiento: Recuerde que un plan de recuperación de desastres debe tener una mirada integral de la organización. Planifique y estructure según la cultura de quienes componen la organización. Eduque y forme pensamiento nuevo. Seguramente usted está pensando en realizar un curso o entrenamiento para los empleados… éste es el camino difícil, primero, seleccione herramientas intuitivas, simples; luego de los conocimientos.
4) Planificación y apoyo a la transición: Recuerde que un DRP óptimo es aquél que le permita automatizar la recuperación de los procesos más importantes de manera automática. Es muy probable que hoy no esté evaluando una situación de replicación o alta disponibilidad porque piensa que puede restaurar un servidor en unas pocas horas ante un problema. En el momento en que ocurre un desastre es probable que múltiples equipos y aplicaciones sufran daños, ¿podrá usted realizar manualmente la recuperación de todos los equipos en el tiempo que ahora prevé? Cuanto más automática sea la recuperación más tiempo para análisis y control tendrá; con esto podrá realizar acciones mucho más eficaces.
5) Implementación: Recuerde que todo proceso automático debe ser factible de transformarse en manual de manera fácil. Revise y organice todos los pasos previos a la recuperación de sus sistemas.
6) Gestión de pruebas: Todos los procedimientos tienen que ser medibles. Establezca cómo deberá testear sus herramientas, quién debe hacer las pruebas, y cuáles son los resultados que se esperan. También debe establecer qué debe hacerse ante los distintos resultados.
Recuerde que las herramientas que soportan los planes de recuperación ante desastres deben ser flexibles y poder adaptarse con comodidad a los cambios que las compañías sufren día a día.
El último punto a tener en cuenta en la conformación de su DRP es la operación del servicio. Aquí usted deberá trabajar sobre el monitoreo activo y pasivo de los servicios, el registro de eventos, incidencias, problemas, y acceso al servicio.
Para finalizar recuerde trabajar la planificación de un DRP con la certeza de que un desastre sucederá, no planifique pensando que un desastre puede suceder. Esta forma de pensar lo expondrá críticamente ante la problemática.