ADMINISTRACIÓN DE CENTRO DE CÓMPUTO

Presentación del facilitador

Ing. David Benavides, MAE Msc. (resumen)

Preparación formal:

Ingeniero en Sistemas Computacionales Magister en Administración de Empresas con mención en Sistemas de Información Gerencial Magister en Docencia y Gerencia en Educación Superior Diplomado en Pedagogías Innovadoras Cursos y seminarios técnicos de especialización nacionales e internacionales

Experiencia docente y académica:

Docente en las carreras de Ingeniería en Sistemas e Ingeniería en Networking desde 2003 hasta el 2016 en la UG Subdirector, tutor de tesis, miembro de la Comisión Académica, miembro del Consejo Consultivo, Coordinador

de Seguimiento a Graduados Docente de cursos especiales en la UPS en 2008 Cursos de educación continua en empresas de capacitación Docente en Ecotec desde 2017 en la Facultad de Ingeniería en Sistemas y Telecomunicaciones

Experiencia profesional:

Gerente de Sistemas en una empresa multinacional de servicios basados en telefonía y telecomunicaciones,desde el 2005 hasta la actualidad.

Desarrollo de Contenido

Objetivo General

Conocer el alcance de la planificación de recursos estratégicos, tecnológicos, y deinfraestructura de una organización, y adquirir las herramientas necesarias con losque un profesional de tecnología debe contar para administrar los recursos deHardware/ Software de un Data Center.

Unidades

• Unidad I. Introducción a la administración de centros de cómputo.

• Unidad II. Organización del centro de cómputo.

• Unidad III. Adquisición de software y hardware.

• Unidad IV. Seguridad en el centro de cómputo.

• Unidad V. Administración de data center.

• Unidad VI. Auditoría del centro de cómputo.

Unidad II. Organización del centro de cómputo

Norma TIA – 942 Data Center

En abril de 2005, la Telecomunication Industry Association publica su estándar TIA-942 con laintención de unificar criterios en el diseño de áreas de tecnología y comunicaciones. Este estándargenera los lineamientos que se deben seguir para clasificar los subsistemas en función de losdistintos grados de disponibilidad que se pretende alcanzar. Establece cuatro niveles (tiers) enfunción de la redundancia necesaria para alcanzar niveles de disponibilidad de hasta el 99.995%.

A su vez divide la infraestructura soporte de un datacenter en cuatro subsistemas a saber:

• Telecomunicaciones • Arquitectura • Sistema Eléctrico • Sistema Mecánico

Norma TIA - 942

Norma TIA - 942

Diagrama de Distribución

Diagrama de Distribución

En un centro de datos bien diseñado, las áreas funcionales se deben plantear de manera quegarantice que:

• Se pueda reasignar fácilmente el espacio para satisfacer necesidades cambiantes, enparticular de crecimiento.

• Se puedan manejar fácilmente los cables de manera que los tendidos no superen lasdistancias recomendadas y que los cambios no sean innecesariamente difíciles.

Norma TIA – 942

Cuarto de Entrada

Alberga el equipo de los operadores de telefonía y el punto de demarcación. Puede estar dentrodel cuarto de cómputo, pero la norma recomienda que esté en un cuarto aparte por razones deseguridad. Si está ubicado en el cuarto de cómputo, deberá estar consolidado dentro del área dedistribución principal.

Área de distribución principal

Contiene el punto de conexión cruzada central para el sistema de cableado estructurado del centrode datos. Esta área debe estar ubicada en una zona central para evitar superar las distancias delcableado recomendadas. La norma especifica racks separados para los cables de fibra, UTP ycoaxial.

Norma TIA - 942

Área de distribución horizontalEs la ubicación de las interconexiones horizontales, el punto de distribución para el cableado hacia lasáreas de distribución de los equipos. Puede haber una o más áreas de distribución horizontal, según eltamaño del centro de datos y las necesidades de cableado.

Área de distribución de zonasEs el área de cableado estructurado para los equipos que van en el suelo. Como ejemplo, se puedecitar a las computadoras centrales y los servidores.

Área de distribución de los equiposEs la ubicación de los gabinetes y racks de equipos. La norma especifica que los gabinetes y racks sedeben colocar en una configuración "hot aisle/cold aisle” (pasillo caliente/pasillo frío) para quedisipen de manera eficaz el calor de los equipos electrónicos.

Norma TIA - 942

Este sistema de clasificación fue inventado por el Uptime Institute para clasificar la fiabilidad.

El concepto de Tier nos indica el nivel de fiabilidad de un centro de datos asociados a cuatro nivelesde disponibilidad definidos. A mayor número en el Tier, mayor disponibilidad, y por lo tanto mayorescostes asociados en su construcción (y mantenimiento) y más tiempo para llevarlo a cabo.

Cronología según el Uptime Institute:

• Tier I: inicios de 1960´s• Tier II: en 1970´s• Tier III: finales de 1980´s• Tier IV: mediados de 1990’s, cuando nacen las computadoras con doble sistema de alimentación

TIER’s

TIER’s: Generalidades

TIER I TIER II TIER III TIER IV

Downtime anual 28,8 hrs 22,0 hrs 1,6 hrs 0,8 hrs

Disponibilidad 99,671% 99,741% 99,982% 99,995%

UPTIME INSTITUTE – White PaperTier Classification Defines Site Infraestructure Performance

Centro de Datos Básico

• El servicio puede interrumpirse por actividades planeadas o no planeadas.

• No hay componentes redundantes en la distribución eléctrica y de refrigeración.

• Puede o no puede tener suelos elevados, generadores auxiliares o UPS.

• Tiempo medio de implementación, 3 meses.

• La infraestructura del datacenter deberá estar fuera de servicio al menos una vez al año porrazones de mantenimiento y/o reparaciones.

TIER 1

Centro de Datos Redundante

• Menos susceptible a interrupciones por actividades planeadas o no planeadas.

• Componentes redundantes (N+1)

• Tiene suelos elevados, generadores auxiliares o UPS.

• Conectados a una única línea de distribución eléctrica y de refrigeración.

• De 3 a 6 meses para implementar.

• El mantenimiento de esta línea de distribución o de otras partes de la infraestructura requiere unainterrupción de servicio.

TIER 2

Centro de Datos Concurrentemente Mantenible

• Permite planificar actividades de mantenimiento sin afectar al servicio de computación, peroeventos no planeados pueden causar paradas no planificadas.

• Componentes redundantes (N+1).

• Conectados múltiples líneas de distribución eléctrica y de refrigeración, pero únicamente con unaactiva.


• Suficiente capacidad y distribución para poder llevar a cabo tareas de mantenimiento en unalínea mientras se da servicio por otras.

TIER 3

Centro de Datos Tolerante a Fallos

• Permite planificar actividades de mantenimiento sin afectar al servicio de computacióncríticos, y es capaz de soportar por lo menos un evento no planificado del tipo ‘peorescenario’ sin impacto crítico en la carga.

• Mantiene conectadas múltiples líneas de distribución eléctrica y de refrigeración conmúltiples componentes redundantes (2 (N+1) significa 2 UPS con redundancia N+1).


TIER 4

Tier 1:• Sin protección eventos físicos, naturales o intencionales.

Tier 2:• Protección mínima a eventos críticos.• Puertas de seguridad.

Tier 3:• Acceso controlado.• Muros exteriores sin ventanas.• Seguridad perimetral, CCTV.

Tier 4:• Protección desastres naturales, sismos, inundaciones, huracanes.• Edificio separado.• Cercanía a lugares públicos (aeropuertos, líneas férreas).• Requerimientos antisísmicos según la zona.

TIER’s: Arquitectónico

Tier 1:• Un solo proveedor, una sola ruta de cableado.

Tier 2:• Redundancia en equipos críticos, fuentes de poder, procesadores.

Tier 3:• Dos proveedores, dos cuartos de entrada de servicio.• Rutas y áreas redundantes.

Tier 4:• Áreas aisladas.

TIER’s: Telecomunicaciones

Tier 1:• Piso falso, UPS y generador (opcionales) sin redundancia.• Única vía de distribución.• UPS simple o paralelas por capacidad. Debe contar con bypass para

mantenimiento.• Sistemas de tierra: requerimientos mínimos.• Monitoreo de los sistemas es opcional.

Tier 2:• UPS redundante N+1.• Un generador redundante.• PDUs redundantes, preferiblemente alimentados de sistemas UPS

separados.• Emergency Power Off System (EPO).

TIER’s: Eléctrico (I)

Tier 3:• Al menos redundancia N+1 en el generador, UPS y sistema de distribución.• Dos vías de distribución (una activa y otra alterna).• Sistema de aterrizaje y sistema de protección para alumbrado.• Sistema de Control y Monitoreo para la mayoría de los equipos eléctricos.

Tier 4:• Diseño 2(N+1).• UPS deben contar con bypass manual para mantenimiento o falla.• Un sistema de monitoreo de baterías.• Data Center debe contar con una entrada de servicios dedicada, aislada de

otras facilidades críticas.• Detección y transferencia automática.

TIER’s: Eléctrico (II)

Tier 1:• Una o varias unidades de aire acondicionado sin redundancia.• Tuberías con una sola ruta.

Tier 2:• Capacidad de enfriamiento combinada, temperatura y humedad.• 7 x 24 x 365.

Tier 3:• Múltiples unidades de aire acondicionado.• Tuberías y bombas duales.• Detección de derrames.

Tier 4:• Soporta fallas en un tablero de alimentación.• Fuentes de agua alternas.

TIER’s: Mecánico

Herramientas

https://www.dell.com/html/us/products/rack_advisor_new/

https://paonline56.itcs.hpe.com/?Page=Index

https://dcsc.lenovo.com/#/

https://www.hpe.com/us/en/integrated-systems/rack-power-cooling.html

Unidad III. Adquisición de hardware y software

Adquisición de software

Se conoce como software al equipamiento lógico de un sistema informático, que comprende el conjunto decomponentes lógicos necesarios que hacen posible la realización de tareas específicas, en contraposición alos componentes físicos que son llamados hardware.

El software, de manera general, se puede clasificar en:

• Sistema operativo

• Paquete de usuario final

• Paquete de sistemas aplicativos

• Software autorizado


• Sistema operativo:Es el conjunto de programas que controla las actividades operativas de cada computador y de la red.

• Paquete de usuario final:Mediante los cuales el usuario de una manera sencilla elabora sus procesos. Por ejemplo, hojas de cálculo,manejadores de bases de datos, procesador de palabras, etc.

• Paquete de sistemas aplicativos:En los que, a diferencia de los anteriores, el usuario es simplemente quien los utiliza. La programación ydesarrollo es realizado por el departamento de Sistemas o adquiridos a proveedores externos. Por ejemplo,sistema de nómina, sistema de contabilidad, sistemas de inventarios, etc.

• Software autorizado:Se considera como software autorizado, tanto a los sistemas operacionales como a aquellos paquetes deusuario final y de sistemas aplicativos, que el departamento de sistemas ha instalado, previo visto buenopara su adquisición y con la autorización legal del proveedor para su uso.


Para la adquisición del software intervienen 6 factores principales que son:

1. Preparar lista de requerimientos:Se refiere a las necesidades de programas o aplicaciones que tienen.

2. Requisición de la propuesta:Una vez que conozcamos los requerimientos de los sistemas que deben adquirirse o desarrollarse, se deberealizar una comparación entre todas las opciones y elegir el más apto.


3. Evaluar alternativas:De acuerdo a las licitaciones con que se cuentan, se debe verificar cuál es la mejor opción basados encaracterísticas, costos, tiempos de entrega.

4. Contactar usuarios para confirmar:Después de seleccionar la mejor opción se deberá informar al usuario.

5. Financiamiento para la adquisición:Las fuentes de financiamiento pueden ser principalmente instituciones bancarias a través de créditos orubros de la empresa destinados para adquisiciones.

6. Negociación de contrato:La negociación de contrato debe incluir todos los aspectos de operación del software y hardware aimplementarse. Aspectos tales como: actualizaciones, innovaciones, capacitación, asesoría técnica, etc.


Preguntas que deben formularse para un requerimiento de software:

• ¿Qué transacciones y qué tipos de datos vamos a manejar?

• ¿Qué reportes o salidas debe producir el sistema?

• ¿Qué archivos y bases de datos se manejan en el sistema?

• ¿Cuál es el volumen de datos a almacenar?

• ¿Cuál es el volumen de operaciones?

• ¿Qué hardware y característica de comunicaciones se requiere?

• ¿Cuánto cuesta?


Las características que debe tener el proveedor de software son:

• Reconocido prestigio mundial y nacional.

• Soporte técnico en instalación.

• Ayuda en problemas.

• Personal especializado.

• Tiempo de atención.

• Comunicación rápida.

• Servicios de capacitación: cursos, material, expositor, costos.

• Cartera de clientes de software iguales al adquirido.

• Documentación: Facilidad de uso.

Adquisición de hardware

La selección del modelo y capacidades del hardware requerido por determinado departamento debe ir deacuerdo con el plan estratégico de sistemas y sustentado por un estudio elaborado por el departamento desistemas, en el cual se enfatizan las características y volumen de información que ameritan sistematizacióny diferencian los tipos de equipos que se adjudican a las diversas áreas y usuarios.

Se deben considerar los siguientes puntos para la adquisición del hardware:

• Determinación del tamaño y requerimiento de capacidad.

• Evaluación y medición de la computadora.

• Compatibilidad.

• Factores financieros.

• Mantenimiento y soporte técnico.


Determinación del tamaño y requerimiento de capacidad.

Existen muchas opciones que pueden elegirse al realizar la compra, sin embargo se deben considerar lassiguientes características:

• Tamaño interno de la memoria.• Velocidad de procesamiento.• Número de canales para entrada/salida de datos y comunicaciones.• Tipos y números de dispositivos de almacenamiento.• Software que se proporciona y sistemas desarrollados disponibles.


Evaluación y medición de la computadora.

Es común que se efectúe comparaciones entre los diferentes sistemas de cómputo basándonos en eldesarrollo y desempeño real de los datos. Los datos de referencia son generados a través del empleo deprogramas sintéticos (programa que imita la carga de trabajo esperada y determina resultados), lo cualpermite comprar contra especificaciones técnicas. Generalmente se toma de referencia:

• Velocidad de procesamiento.

• Tiempo de respuesta para envío y recepción de datos desde las terminales.


Compatibilidad.

Ocasionalmente por cuestiones económicas se considera factible la compra del equipo llamado compatible.La ventaja de este equipo es un menor costo que el original, pero se deben cuidar los siguientes puntos:

• Nivel de calidad.

• Desempeño igual al original.

• Garantías.

• Acuerdos de servicio.


Factores financieros.

Existen algunas opciones para adquirir equipos de cómputo:

• Por alquiler o renta: Existe alto nivel de flexibilidad, no se requieren pagos altos y elevados, y a cortoplazo es más económico alquilar que comprar. La desventaja es que a largo plazo puede resultar máscostoso que comprar el equipo.

• Por compra: Tiene como ventaja que puede pagarse a crédito en pagos determinados en períodos fijos,no necesariamente se deben efectuar pagos elevados y se puede disponer del equipo en todomomento. Como desventaja, riesgo a la obsolescencia y requiere capital inicial mayor.


Mantenimiento y soporte técnico.

Los puntos a considerar son:

• Fuente de mantenimiento: Una vez que el sistema se ha entregado e instalado, existe un período degarantía en el cual la unidad de ventas que efectuó la operación tiene la responsabilidad delmantenimiento. Después de este tiempo el comprador puede adquirir mantenimiento de varias fuentes.

• Términos de mantenimiento: El contrato puede redactarse de manera tal que cubra tanto la mano deobra como las partes y piezas que se hayan necesitado en el mantenimiento, ó mano de obra y piezaspor separado.

• Servicio y respuesta: El apoyo de mantenimiento es útil si se encuentra disponible cuando se requiere.Dos puntos de interés son el tiempo de respuesta y las horas en las que se puede obtener el apoyo.


Las características que debe tener un proveedor de hardware son:

• Reconocido prestigio local.

• Soporte de mantenimiento: personal especializado, stock de repuestos.

• Tiempo de atención, local apropiado, comunicación rápida.

• Cartera de clientes con equipos equivalentes a los adquiridos.

• Tiempo de entrega oportuno.

Adquisición de hardware y software

Inventario de hardware y software

Cálculo de las cargas de trabajo

Evaluar hardware

Evaluar software

Seleccionar proveedor

Adquirir el equipo/software

Op

cio

nes

Op

cion

es

- Alquilar- Comprar

- Crear- Comprar

Adquisición de hardware y software –Consideraciones generales

Para realizar cualquier adquisición de hardware o software, se deben considerar los siguientes puntos:

• Solicitud de la propuesta• Evaluación de la propuesta• Negociación de contrato• Mantenimiento y soporte técnico• Garantía

Solicitud de la propuesta.

Toda adquisición se origina en base a una solicitud que realiza un usuario intentando satisfacer unanecesidad específica.

La solicitud de la propuesta deberá realizarse mediante requisiciones, deben incluir:

• Información general• Objetivo• Propósito• Fecha límite de entrega• Cobertura de requerimientos (mínimos, deseables)• Solicitud de descripción detallada del producto o servicio• Solicitar especificaciones detalladas de servicios de soporte de usuario• Coordinar presentaciones

Evaluación de la propuesta.

Debe llevarse a cabo un análisis de las opciones con el propósito de establecer con seguridad el tipo desoftware y hardware apropiado para su implementación.

Para llevar a cabo una buena evaluación de las propuestas presentadas se deben tomar en cuenta lossiguientes términos:

• Analizar propuesta• Costo• Disponibilidad• Calidad de diseño• Soporte y mantenimiento• Expansión• Configuración• Ambiente de Software• Documentación

Negociación de contrato.

La negociación de contrato debe incluir todos los aspectos de operación del software y hardware aimplementarse, tales como: actualizaciones, innovaciones, capacitación, asesoría técnica, etc.

La negociación del contrato debe contemplar los siguientes puntos:

• Precios• Capacitaciones• Penalizaciones

Posibles problemas que se pueden presentar:

• Contrato a favor del proveedor.• Convenios no incorporados en cláusulas.• Ausencia de penalizaciones.• Cláusulas integradoras (dejar sin valides cualquier acuerdo previo).

Mantenimiento y soporte técnico.

Una vez que el hardware o software es entregado e instalado, existe un período de tiempo en el cual laempresa tiene la responsabilidad del mantenimiento y soporte técnico.

En el contrato se debe incluir el tiempo de atención, tiempo de respuesta, horas de soporte ymantenimiento, costos adicionales en caso de existir.

Garantía.

Garantía es un compromiso hecho por una persona/empresa (el abonador) para asegurar que otrapersona/empresa (el obligado) cumplirá a cabalidad con todas estipulaciones. Los tiempos de respuesta delproveedor deben estar definidos en el contrato de compra.

La garantía puede ser:

• En el sitio.El cliente puede solicitar que la reparación bajo garantía se lleve a cada en las oficinas donde se encuentrainstalado el hardware.

• En el taller.El cliente debe movilizar el hardware a un proveedor de servicios autorizados para efectuar la reparación.

Unidad IV. Seguridad en el centro de cómputo

Condiciones de seguridad en Centros de Cómputo

Un Centro de Cómputo es seguro si:

• Se puede confiar en él

• Si su software se comporta como se espera que lo haga, y

• Si la información almacenada en él se mantiene inalterada y accesible durante tanto tiempo como su dueño lodesee.

Condiciones de seguridad en Centros de Cómputo

Sobre este aspecto, la seguridad busca consolidar la confidencialidad, integridad, autenticidad y disponibilidadde la información.

De igual forma, la seguridad informática busca mantener y conservar la operatividad de la organización y de susistema a partir del resguardo de sus recursos.

Niveles de Seguridad.

La seguridad en un Centro de Cómputo son una serie de niveles de control: si un nivel falla, entonces otronivel toma posesión u ocupa su lugar y continúa con la operación del sistema, de forma que el impactoglobal que pudiera ocasionar la falla se reduce.

Estos niveles son:

1. Disuadir:

En este nivel la meta es prevenir cualquier tipo de amenaza o desastre que pueda ocurrir.

2. Detectar:

La disuasión total generalmente no se consigue; por lo tanto, en este nivel se establecen métodos demonitoreo y vigilancia que reporten cualquier riesgo o peligro, y que permitan tomar las accionescorrectivas pertinentes.


3. Minimizar el impacto de pérdida o desastre:

Si un accidente o contratiempo ocurre, deben establecerse procedimientos que ayuden a reducir la pérdidao el daño.


4. Investigar: Si la perdida ocurre, puede realizarse una investigación que ayude a determinar lo que pasó. Lainformación que derive de esta investigación puede servir para futuras planeaciones de seguridad.

5. Recuperar: Las medidas de seguridad implican que debe de haber un plan de acción para recuperación en casode que un accidente o desastre ocurra – sea cual fuere su causa–, y hacerlo de la manera más pronta posible.


Seguridad en Centros de Cómputo

¿Qué se quiere proteger?

Es muy importante determinar el valor del hardware y las tareas que realiza (qué tan importante es para laorganización en que se está trabajando).

Esta valoración debe hacerse de forma individual, pues lo que es valioso para algunos no lo es para otros.


¿Contra qué se quiere proteger?

Para no incurrir en gastos innecesarios, es importante determinar cuáles son los riesgos reales a los que estáexpuesto el equipo de cómputo.


¿Contra qué se quiere proteger?

La seguridad efectiva debe garantizar la prevención y detección de accidentes, ataques, daños por causasnaturales, así como la existencia de medidas definidas para afrontar los desastres y lograr elrestablecimiento de las actividades.


¿Cuánto tiempo, dinero y esfuerzo se está dispuesto a invertir?

Se refiere a la cantidad de recursos que dispone o que está dispuesta a invertir la organización, lo quedeterminará en última instancia las medidas que se van a tomar.


Estos recursos son:

Tiempo:

Para tener un nivel de seguridad alto es necesario que alguien dedique tiempo a configurar los parámetros deseguridad del sistema, el ambiente de trabajo de los usuarios, revisar y fijar los permisos de acceso a losarchivos, ejecutar programas de monitoreo de seguridad, revisar las bitácoras del sistema, etc.


Esfuerzo:

Establecer y mantener un nivel adecuado de seguridad puede significar un esfuerzo considerable por parte delencargado, sobre todo si ocurren problemas de seguridad.


Dinero:

El tener a alguien que se encargue de la seguridad en forma responsable cuesta dinero. De igual formacuesta dinero adquirir los productos de seguridad que se vayan a utilizar, ya sean programas o equipos.

Elementos administrativos en seguridad

Para garantizar el más alto nivel de seguridad computacional o seguridad de la información, varios elementosdeben estar continuamente activos y trabajar en conjunto.

• Política definida sobre seguridad en computación.

• Organización y división de las responsabilidades.

• Política hacia el personal.

• Seguros.

• Clasificación de los datos.

• Auditoria y Control.

Clasificación de las instalaciones.

• Instalaciones de alto riesgo:

Información confidencial de interés nacional y perdida financiera potencialmente alta

• Instalaciones de riesgo medio:

La interrupción prolongada causa grandes problemas e incremento en costos.

• Instalaciones de bajo riesgo:

Aplicaciones con procesamiento retardado con poco impacto en la pérdida del material

Cuantificación de Riesgos de Seguridad

Control de acceso físico

Es la identificación positiva del personal que entra y sale del área de cómputo bajo un estricto control.

• Estructura y disposición del área de recepción

• Control del acceso a terceras personas

• Indentificación plena del personal.

Control de Riesgos de Seguridad

Algunos Riesgos:

• El mal funcionamiento del CC ocasiona que se apague y el aire acondicionado es indispensable para que lacomputadora trabaje.

• Las instalaciones del CC es una fuente de incendios muy fuerte y susceptibles al ataque físico, especialmente através de los ductos.


Prevenciones:

• Instalar un área de cómputo de respaldo

• Extintores y detectores de humo

• Alarmas de temperatura y humedad

• Distribución del aire acondicionado en la sala, piso falso y canales

• Sistema de corriente regulada


Mantenimiento:

• Propio o externo

• Al equipo informático

• A la electricidad, agua, y en general al centro de cómputo


Plan de contingencia:

Son un conjunto de procedimientos para tomaracciones especificas cuando surja un evento ocondicion inesperada. Es un plan formal quedescribe pasos apropiados que se deben seguir encaso de un desastre o emergencia.

Debe considerar:

1) antes.- como plan de respaldo

2) durante.- Como plan de emergencia

3) despúes.- Como plan de recuperación tras undesastre.

Plan de recuperación de desastres

Conocido como DRP, es un proceso documentado o conjunto de procedimientos para recuperar y proteger lainfraestructura tecnológica de una empresa en caso de un desastre. Llamamos desastre a cualquier causa que afecte ala infraestructura (datos, hardware o software), y sea natural, intencional o involuntaria, e impida la normal continuidaddel negocio.

El DRP está incluido en un plan integral de la organización llamado Plan de Continuidad del Negocio (BCP) que incluyelos siguientes componentes:


Un plan de continuidad del negocio (BCP) es un proceso diseñado para reducir el riesgo del negocio de la organizaciónque surja de una interrupción no esperada de las funciones/operaciones críticas necesarias para la supervivencia de lamisma.


Existen diferentes maneras de abordar el desarrollo de un plan de recuperación (DRP), pero éste siempre debe estaralineado con el plan de continuidad, por lo que debe considerar los elementos que definen la razón de ser de unaorganización.

Además, el DRP debe incluir los criterios para determinar cuándo un incidente de seguridad no se puede resolvermediante los procedimientos comunes de atención y se considera como un desastre, es decir, cuando se presenta unevento catastrófico y repentino que nulifica la capacidad de las organizaciones para llevar a cabo los procesosesenciales.

Un desastre podría ser el resultado de un daño importante a una parte de las operaciones, la pérdida total de unainstalación o la incapacidad de los empleados para acceder a las instalaciones, generado por algún tipo de desastrenatural, una contingencia sanitaria o una huelga, por ejemplo.


Una propuesta para el desarrollo y aplicación del DRP se considera en los siguientes 6 puntos:

1. Desarrollar una política de continuidad del negocio

Todas las actividades deben estar alineadas con los objetivos de continuidad del negocio, por lo que un punto de partidapuede ser el desarrollo de una política encargada de establecer el marco de operación de los planes.

2. Realizar una evaluación de riesgos

Llevar a cabo una evaluación de riesgos permite identificar, analizar y evaluar las amenazas que podrían afectar a laorganización, especialmente aquellos que puedan provocar un evento que se incluya en la categoría de desastre.

Para la elaboración de este informe es necesario:

Revisar los procesos del negocio y sus dependencias de los servicios de TI.

Identificar los puntos más vulnerables.

Analizar las posibles amenazas sobre estos procesos y estimar su probabilidad.


3. Realizar un análisis de impacto al negocio (BIA)

En este paso se definen principalmente los objetivos de recuperación para los sistemas que soportan los procesos denegocio. Se define el Tiempo Objetivo de Recuperación (RTO), que es el período permitido para la recuperación de unafunción o recurso de negocio a un nivel aceptable luego de un desastre, y el Punto Objetivo de Recuperación (RPO) quedescribe la antigüedad máxima de los datos para su restauración, con base en los requisitos del negocio.


4. Desarrollar estrategias de recuperación y continuidad del negocio

Una estrategia de recuperación identifica la mejor forma de recuperar un sistema en caso de interrupción, incluyendodesastre y provee orientación basa en qué procedimientos detallados de recuperación se pueden desarrollar.

Las acciones más efectivas son:

• Eliminar la amenaza completamente.

• Minimizar la probabilidad y el efecto de la ocurrencia.

La selección de la estrategia de recuperación dependerá de:

• Criticidad del proceso de negocio y las aplicaciones que soportan los procesos.

• Costo.

• Tiempo requerido para recuperarse.

• Seguridad.


5. Concientizar, capacitar y probar los planes

Un elemento necesario con relación a los planes consiste en realizar su difusión entre los miembros de la organización,especialmente entre aquellos que serán los encargados de ponerlo en ejecución en caso de ser requerido. Además, esnecesario que se lleven a cabo pruebas del mismo.

6. Mantener y mejorar el plan de recuperación ante desastres

A partir de los resultados de la prueba de los planes se deben llevar los ajustes correspondientes para contar condocumentación actualizada y apropiada a los intereses de la organización, una vez que han sido consideradas lassituaciones de desastre que podrían afectarla, las actividades y recursos necesarias para restablecer las operacionescríticas.

Matriz de Riesgo

Escenario defalla o pérdida

Causa Efectos I R P Acción Control de riesgo

Describa el escenario a analizar.

Describa las causas que pueden generarque el escenario falle.

Describa los efectos que derivan de cada causa.

Califique el impacto, riesgo y probabilibad de ocurrencia del escenario. (Alto, Medio, Bajo)

Describa la accióninmediata a realizar una vez presentado el evento.

Describa los tipos de controles que se requieren para mitigar el riesgo.

ADMINISTRACIÓN DE CENTRO DE CÓMPUTO

Documents

Transcript of ADMINISTRACIÓN DE CENTRO DE CÓMPUTO